Хакеры распространяют вредоносы в пустых изображениях в письмах

Исследователи компании Avanan выяснили, что злоумышленники внедряют вредоносное ПО в пустые изображения в электронных письмах. Это позволяет им обходить проверку службы VirusTotal.

149b282c61a62986fa8b5b74412ecfde.jpg

Хакеры отправляют жертвам мошеннический документ, связанный с сервисом управления электронными документами DocuSign. В письме говорится, что нужно просмотреть и подписать документ. По ссылке пользователь переходит на настоящую страницу DocuSign. Однако основную роль в атаке играет HTM-вложение, отправленное вместе со ссылкой DocuSign. В нём содержится SVG-изображение, закодированное с использованием Base64. Хотя оно пустое, этот файл имеет встроенный JavaScript-код, перенаправляющий на вредоносный URL-адрес.





    
    Title



  
  













Если декодировать изображение, то оно выглядит так:





  

  

Обычные сервисы, такие как VirusTotal, не обнаруживают вредоносы, так как они спрятаны в изображениях. В связи с этим пользователям рекомендуется с осторожностью относиться к любым письмам, содержащим вложения в формате HTML или HTM. Администраторы могут заблокировать все HTML-вложения.

Ранее исследователи сообщили, что хакеры создают поддельные сайты для популярного бесплатного программного обеспечения с открытым исходным кодом, чтобы продвигать вредоносы через рекламу в результатах поиска Google.

© Habrahabr.ru