Для внедрения вредоносного ПО операторы трояна QBot изобрели новый метод. Они пользуются SVG-файлами, чтобы реализовать устройства HTML smuggling.
Активируется кибератака путем задействования интегрированных документов SVG, в которых имеется JavaScript. Он занимается сбором закодированного Base64 инсталлятора трояна. Последний загружается автоматом в пользовательский браузер.
Троян способен загружать и иные пейлоады, среди которых Brute Ratel и не только, а также вирусы, вымогающие выкуп за возвращение доступа.
Применяется HTML smuggling с одной целью – украдкой вставить в соответствующее вложение либо web-ресурс закодированный JavaScript. Как только страница или файл откроется, указанный скрипт будет выполнен на ПК.
Данный способ дает возможность хакерам обойти защиту и осуществляющие проверку с целью обнаружения вредоносов файрволы.
Поделились информацией о данной методике киберпреступников специалисты Cisco Talos. Начало атаки простое – на почту приходит письмо с соответствующим файлом и просьбой его открыть.
В качестве защиты специалисты советуют поставить блок на исполнение указанных скриптов для контента, который скачивается из Интернета.