Attacco “Blank Image”, la campagna phishing che sfrutta le immagini vettoriali

da Salvatore Lombardo
0 commenti 2 minuti leggi

I ricercatori di Avanan, una società di Check Point Software, hanno discusso in un recente rapporto di come sia possibile nascondere contenuti dannosi all’interno di “immagini vuote”, creando reindirizzamenti automatici che aggirano i controlli anti-malware come VirusTotal.

In questo attacco, gli hacker inseriscono immagini vuote all’interno degli allegati HTML. Quando si apre l’allegato, l’utente viene reindirizzato automaticamente a un URL dannoso” spiega Jeremy Fuchs di Avanan.

Annunci

Lo scenario di attacco

La campagna e-mail inizia con quello che sembra essere un documento di DocuSign (una piattaforma di firma di documenti basata su cloud legittima).

image 30
Campione e-mail (Avanan)

All’utente viene chiesto di rivedere e firmare il documento. Mentre il link “View completed document” porterà alla pagina legittima di DocuSign, l’allegato HTM “Scanned Remittance Advice.htm” contiene invece l’inganno. Il click su di esso avvia la catena degli eventi.

Il file HTM contiene un’immagine SVG codificata in Base64 (gli SVG sono immagini vettoriali basate su XML e possono contenere tag di script HTML). Si tratterebbe di un’immagine vuota con un contenuto attivo all’interno (codice Javascript) che reindirizza automaticamente all’URL malevolo aggirando in tal modo i tradizionali servizi di scansione. Il compito dell’immagine sarebbe semplicemente quello di un segnaposto per contenere lo script malevolo. La vittima non vede nulla sullo schermo mentre il codice di reindirizzamento dell’URL viene eseguito in background. Quando il documento HTM viene aperto, decodificherà il JavaScript e lo eseguirà, consentendo allo script di eseguire localmente attività dannose, inclusa la creazione di eseguibili malware.

Screenshot 20230119 190303 Chrome
Codice contenuto all’interno dell’immagine SVG (Avanan)

Raccomandazioni

Nel rimarcare come questa insolita tecnica sia un modo efficace per aggirare la maggior parte degli strumenti di sicurezza e firewall, Avanan raccomanda agli utenti di diffidare di qualsiasi e-mail che contenga un allegato HTML/HTM e agli amministratori di bloccare tali allegati così come si fa solitamente per i file di tipo .exe e .cab.

Si può anche come

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Developed with love by Giuseppe Ferrara