I ricercatori di Avanan, una società di Check Point Software, hanno discusso in un recente rapporto di come sia possibile nascondere contenuti dannosi all’interno di “immagini vuote”, creando reindirizzamenti automatici che aggirano i controlli anti-malware come VirusTotal.
“In questo attacco, gli hacker inseriscono immagini vuote all’interno degli allegati HTML. Quando si apre l’allegato, l’utente viene reindirizzato automaticamente a un URL dannoso” spiega Jeremy Fuchs di Avanan.
Lo scenario di attacco
La campagna e-mail inizia con quello che sembra essere un documento di DocuSign (una piattaforma di firma di documenti basata su cloud legittima).
All’utente viene chiesto di rivedere e firmare il documento. Mentre il link “View completed document” porterà alla pagina legittima di DocuSign, l’allegato HTM “Scanned Remittance Advice.htm” contiene invece l’inganno. Il click su di esso avvia la catena degli eventi.
Il file HTM contiene un’immagine SVG codificata in Base64 (gli SVG sono immagini vettoriali basate su XML e possono contenere tag di script HTML). Si tratterebbe di un’immagine vuota con un contenuto attivo all’interno (codice Javascript) che reindirizza automaticamente all’URL malevolo aggirando in tal modo i tradizionali servizi di scansione. Il compito dell’immagine sarebbe semplicemente quello di un segnaposto per contenere lo script malevolo. La vittima non vede nulla sullo schermo mentre il codice di reindirizzamento dell’URL viene eseguito in background. Quando il documento HTM viene aperto, decodificherà il JavaScript e lo eseguirà, consentendo allo script di eseguire localmente attività dannose, inclusa la creazione di eseguibili malware.
Raccomandazioni
Nel rimarcare come questa insolita tecnica sia un modo efficace per aggirare la maggior parte degli strumenti di sicurezza e firewall, Avanan raccomanda agli utenti di diffidare di qualsiasi e-mail che contenga un allegato HTML/HTM e agli amministratori di bloccare tali allegati così come si fa solitamente per i file di tipo .exe e .cab.