Хакеры распространяют вредоносы в пустых изображениях в письмах
Исследователи компании Avanan выяснили, что злоумышленники внедряют вредоносное ПО в пустые изображения в электронных письмах. Это позволяет им обходить проверку службы VirusTotal.
Хакеры отправляют жертвам мошеннический документ, связанный с сервисом управления электронными документами DocuSign. В письме говорится, что нужно просмотреть и подписать документ. По ссылке пользователь переходит на настоящую страницу DocuSign. Однако основную роль в атаке играет HTM-вложение, отправленное вместе со ссылкой DocuSign. В нём содержится SVG-изображение, закодированное с использованием Base64. Хотя оно пустое, этот файл имеет встроенный JavaScript-код, перенаправляющий на вредоносный URL-адрес.
Title
Если декодировать изображение, то оно выглядит так:
Обычные сервисы, такие как VirusTotal, не обнаруживают вредоносы, так как они спрятаны в изображениях. В связи с этим пользователям рекомендуется с осторожностью относиться к любым письмам, содержащим вложения в формате HTML или HTM. Администраторы могут заблокировать все HTML-вложения.
Ранее исследователи сообщили, что хакеры создают поддельные сайты для популярного бесплатного программного обеспечения с открытым исходным кодом, чтобы продвигать вредоносы через рекламу в результатах поиска Google.