Бесплатно Экспресс-аудит сайта:

20.01.2023

Хакеры распространяют вредоносное ПО в пустых изображениях

Исследователи ИБ-компании Avanan обнаружили , что злоумышленники обходят службу VirusTotal, внедряя вредоносное ПО в пустые изображения в электронных письмах.

Киберпреступник отправляет потенциальной жертве мошеннический документ, связанный со сервисом управления электронными документами DocuSign. Жертву просят просмотреть и подписать документ. Примечательно, что, в отличие от других фишинговых кампаний, ссылка ведет пользователей на настоящую страницу DocuSign.

Пример фишингового письма

Так жертва убеждается в достоверности письма. Однако, основную роль в атаке играет HTM-вложение, отправленное вместе со ссылкой DocuSign. Вложение содержит SVG-изображение, закодированное с использованием Base64. Хотя изображение пустое, этот файл содержит JavaScript-код, перенаправляющий на вредоносный URL-адрес, на котором хакеры дальше заражают пользователя

Эта кампания отличается от других тем, что она использует пустое изображения с активным содержимым внутри. Такое изображение традиционные сервисы, такие как VirusTotal, не обнаруживают, как поясняют исследователи.

Чтобы не стать жертвой таких атак, пользователям рекомендуется с осторожностью относиться к любым письмам, содержащим вложения в формате HTML или HTM. Кроме того, администраторы могут заблокировать все HTML-вложения.