Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Киберпреступники начали распространять вредоносное ПО через пустые изображения в email-письмах

186
1 мин
Эксперты по кибербезопасности компании Avanan обнаружили, что киберпреступники внедряют вредоносный софт в пустые изображения в email-письма. Подобный подход позволяет злоумышленникам обойти проверку службы VirusTotal. Эксперты из Avanan уточняют, что киберпреступники отправляют пользователям специально созданный документ, который связан с сервисом управления электронной документацией DocuSign. В присланном письме говорится о том, что пользователю необходимо посмотреть и подписать документацию. Если пользователь проходит по присланной ссылке, то он попадает на настоящую страницу сервиса DocuSign, но ключевую роль в этой кибератаке играет HTM-вложение, которое отправляется вместе со ссылкой. В этом вложении есть специально сделанное с SVG-изображение, которое закодировано с применением Base64. Несмотря на то, что это изображение пустое, файл имеет интегрированный JS-код, который перенаправляет пользователя на вредоносный URL-адрес. Традиционные профильные сервисы, например, тот же Viru

Эксперты по кибербезопасности компании Avanan обнаружили, что киберпреступники внедряют вредоносный софт в пустые изображения в email-письма. Подобный подход позволяет злоумышленникам обойти проверку службы VirusTotal.

Изображение: Elisa Ventur (unsplash)
Изображение: Elisa Ventur (unsplash)

Эксперты из Avanan уточняют, что киберпреступники отправляют пользователям специально созданный документ, который связан с сервисом управления электронной документацией DocuSign. В присланном письме говорится о том, что пользователю необходимо посмотреть и подписать документацию. Если пользователь проходит по присланной ссылке, то он попадает на настоящую страницу сервиса DocuSign, но ключевую роль в этой кибератаке играет HTM-вложение, которое отправляется вместе со ссылкой.

В этом вложении есть специально сделанное с SVG-изображение, которое закодировано с применением Base64. Несмотря на то, что это изображение пустое, файл имеет интегрированный JS-код, который перенаправляет пользователя на вредоносный URL-адрес.

Традиционные профильные сервисы, например, тот же VirusTotal, не способны обнаружить вредоносное ПО, потому что то спрятано в изображении. За счёт этого пользователям эксперты информационной безопасности из компании Avanan рекомендовали с особой внимательностью и аккуратностью относиться к любым электронным письмам, которые внутри себя содержат вложения в форматах HTM или же HTML. Кроме того, в Avanan призывают администраторов заблокировать возможность получения своими сотрудниками всех видов HTML-вложений.

В отчете компании Avanan также говорится о том, что указанный выше способ является инновационным. С его помощью киберпреступники стараются не допустить обнаружение «истинного намерения сообщения» средствами безопасности. Реализация этого метода позволяет злоумышленникам обойти VirusTotal. Техника также не сканируется традиционной защитой Click-Time. Накладывая обфускацию за обфускацией, большинство служб безопасности беспомощны против этих атак, резюмировали в Avanan.

Ранее в «Лаборатории Касперского» заявили, что для многих компаний из различных стран мира в 2023 году сохраняется повышенная опасность атак программ-вымогателей.

-2

Актуальные вакансии по ИБ на https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/

Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | YouTube | Rutube.

Кибербезопасность
25,6 тыс интересуются