Los distribuidores de malware de correo electrónico han encontrado una nueva forma de ocultar la carga útil. La empresa de seguridad de la información Avanan (propiedad de Check Point Software Technologies) ha detectado la distribución de archivos adjuntos HTM que redirigen al destinatario a un sitio malicioso; el enlace al recurso se ha ocultado en una imagen SVG vacía. Tal disfraz, según los expertos, es capaz de engañar a los detectores de virus VirusTotal .
Muchos verificadores de URL en tiempo real tradicionales son completamente inútiles en este caso: simplemente ignorarán el clic en el enlace malicioso. Los mensajes falsos distribuidos por los atacantes imitan el mensaje de DocuSign. Se le pide al destinatario que vea y firme el documento; el análisis mostró que el botón incorporado, cuando se activa, abre una página de servicio web legítima.
Te puede interesar: Los atacantes abusan de Google Ads para propagar malware
El archivo HTM adjunto al correo electrónico resultó ser peligroso: contenía un SVG codificado en Base64 con JavaScript incorporado que redirigía a la víctima a un sitio malicioso. La imagen en sí no se mostró: el elemento del círculo base se escribió en el código SVG sin atributos:
Esta técnica se conoce como contrabando de HTML, contrabando de HTML. Anteriormente, los atacantes lo usaban para distribuir Trickbot y Qbot (en este último caso, también usando archivos SVG).