Новости Cisco Talos: Троян Qakbot теперь распространяется внутри SVG-изображений

[NewsMaker]

В мире ИБ тоже есть контрабанда – через электронную почту и картинки.​

---

---

Исследователи кибербезопасности из Для просмотра ссылки Войди или Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся , что операторы Для просмотра ссылки Войди или Зарегистрируйся распространяют вредоносное ПО с помощью SVG-изображений, встроенных в HTML-вложения электронной почты.

Такой метод распространения называется Для просмотра ссылки Войди или Зарегистрируйся (Контрабанда HTML) — он использует функции HTML и JavaScript для запуска закодированного вредоносного кода, содержащегося во вложении-приманке, и доставки полезной нагрузки на компьютер жертвы.

---

---

Цепочка атаки В цепочке атак JavaScript-сценарий вставляется внутрь SVG-изображения и выполняется, когда получатель письма запускает HTML-вложение. После запуска скрипт создаёт вредоносный ZIP-архив и предоставляет пользователю диалоговое окно для сохранения файла.

ZIP-архив также защищен паролем, который отображается в HTML-вложении, после чего извлекается ISO-образ для запуска трояна Qakbot.

---

---

Процесс заражения Qakbot Как сообщили Для просмотра ссылки Войди или Зарегистрируйся , Qakbot собирает широкий спектр информации профиля с зараженных систем, включая сведения о всех настроенных учетных записях пользователей, разрешениях, установленном программном обеспечении, запущенных службах и пр.