I ricercatori di Avanan (sussidiaria di Check Point Software) hanno scoperto una nuova tecnica usata durante gli attacchi di phishing per aggirare i controlli di sicurezza. Il trucco è nascondere il codice JavaScript all’interno di un’immagine SVG vuota, da cui il nome “Blank Immage”. È quindi importante installare un buon antivirus che rileva questi allegati pericolosi.
Blank Image: URL nel codice JavaScript nascosto
La catena di infezione inizia con l’invio di un’email che sembra provenire da DocuSign. Viene chiesto all’ignara vittima di verificare il contenuto e firmare il documento. Cliccando sul link si apre il sito legittimo dell’azienda californiana. Aprendo invece l’allegato HTML viene avviato l’attacco “Blank Image”.
Analizzando il codice, i ricercatori di Avanan hanno individuato un’immagine SVG codificata con Base64. Dopo la decodifica appare un codice JavaScript. L’immagine SVG è vuota, in quanto non viene mostrato nulla sullo schermo. Serve solo per nascondere il codice JavaScript che effettua il reindirizzamento automatico verso un sito infetto.
Questo metodo permette di aggirare VirusTotal e altri controlli di sicurezza. Gli utenti devono prestare molta attenzione agli allegati HTML perché possono contenere codice pericoloso. Gli esperti di Avanan suggeriscono agli amministratori IT di bloccare gli allegati HTML oppure di trattarli come file eseguibili. L’uso di un antivirus aggiornato dovrebbe garantire una buona protezione contro questo tipo di minaccia.