I ricercatori di Cisco Talos hanno scoperto una nuova modalità usata dai cybercriminali per distribuire QBot. Sfruttando la tecnica nota come HTML smuggling, il codice JavaScript che copia il malware sul computer è stato nascosto in immagini SVG. Il trucco permette di aggirare i controlli dei servizi di posta elettronica, ma fortunatamente questo tipo di infezione viene rilevata dalla maggioranza delle soluzioni di sicurezza.
Immagini SVG per distribuire QBot
Il vettore di attacco è un’email che sembra provenire da un contatto fidato. In allegato c’è un documento HTML che, quando aperto dall’ignara vittima, avvia la catena di infezione. Il browser esegue il codice JavaScript che copia il payload sul computer. Le immagini SVG possono essere inserite nel codice HTML usando i tag XML. Le immagini possono a loro volta contenere tag script
relativi a codice JavaScript.
Quando l’utente apre la pagina HTML, il codice JavaScript viene eseguito. In questo caso viene creato un archivio ZIP e mostrata la finestra di dialogo per il salvataggio sul computer. La pagina HTML mostra inoltre la password necessaria per decifrare l’archivio, all’interno del quale c’è un’immagine ISO. In quest’ultima ci sono i file LNK, CMD e DLL. Cliccando sul file LNK viene caricata in memoria la DLL, ovvero QBot.
Il consiglio principale è quello di non aprire nessun allegato sospetto. Ovviamente è meglio installare una soluzione di sicurezza che rileva e blocca questo tipo di minaccia informatica.