Эксперты по кибербезопасности компании Avanan обнаружили, что киберпреступники внедряют вредоносный софт в пустые изображения в email-письма. Подобный подход позволяет злоумышленникам обойти проверку службы VirusTotal.
Эксперты из Avanan уточняют, что киберпреступники отправляют пользователям специально созданный документ, который связан с сервисом управления электронной документацией DocuSign. В присланном письме говорится о том, что пользователю необходимо посмотреть и подписать документацию. Если пользователь проходит по присланной ссылке, то он попадает на настоящую страницу сервиса DocuSign, но ключевую роль в этой кибератаке играет HTM-вложение, которое отправляется вместе со ссылкой.
В этом вложении есть специально сделанное с SVG-изображение, которое закодировано с применением Base64. Несмотря на то, что это изображение пустое, файл имеет интегрированный JS-код, который перенаправляет пользователя на вредоносный URL-адрес.
Традиционные профильные сервисы, например, тот же VirusTotal, не способны обнаружить вредоносное ПО, потому что то спрятано в изображении. За счёт этого пользователям эксперты информационной безопасности из компании Avanan рекомендовали с особой внимательностью и аккуратностью относиться к любым электронным письмам, которые внутри себя содержат вложения в форматах HTM или же HTML. Кроме того, в Avanan призывают администраторов заблокировать возможность получения своими сотрудниками всех видов HTML-вложений.
В отчете компании Avanan также говорится о том, что указанный выше способ является инновационным. С его помощью киберпреступники стараются не допустить обнаружение «истинного намерения сообщения» средствами безопасности. Реализация этого метода позволяет злоумышленникам обойти VirusTotal. Техника также не сканируется традиционной защитой Click-Time. Накладывая обфускацию за обфускацией, большинство служб безопасности беспомощны против этих атак, резюмировали в Avanan.
Ранее в «Лаборатории Касперского» заявили, что для многих компаний из различных стран мира в 2023 году сохраняется повышенная опасность атак программ-вымогателей.
Актуальные вакансии по ИБ на https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | YouTube | Rutube.
