Cisco Talos: Троян Qakbot теперь распространяется внутри SVG-изображений

Исследователи кибербезопасности из Cisco Talos обнаружили , что операторы Qakbot распространяют вредоносное ПО с помощью SVG-изображений, встроенных в HTML-вложения электронной почты.

Такой метод распространения называется HTML Smuggling (Контрабанда HTML) — он использует функции HTML и JavaScript для запуска закодированного вредоносного кода, содержащегося во вложении-приманке, и доставки полезной нагрузки на компьютер жертвы.

Цепочка атаки

В цепочке атак JavaScript-сценарий вставляется внутрь SVG-изображения и выполняется, когда получатель письма запускает HTML-вложение. После запуска скрипт создаёт вредоносный ZIP-архив и предоставляет пользователю диалоговое окно для сохранения файла.

ZIP-архив также защищен паролем, который отображается в HTML-вложении, после чего извлекается ISO-образ для запуска трояна Qakbot.

Процесс заражения Qakbot

Как сообщили специалисты из компании Sophos , Qakbot собирает широкий спектр информации профиля с зараженных систем, включая сведения о всех настроенных учетных записях пользователей, разрешениях, установленном программном обеспечении, запущенных службах и пр.