Resumen:
Los actores de la amenaza detrás del malware de Qakbot han optado por utilizar los archivos SVG para distribuir malware.
Detectado por los investigadores de Cisco Talos, el nuevo método de distribución de malware hace uso de las imágenes de gráficos vectoriales escalables (SVG) para crear instaladores maliciosos locales en los sistemas de Windows.
Es mediante mensajes de correo electrónico maliciosos, que los ciberdelincuentes engañan a sus víctimas con archivos HTML adjuntos que contienen las imágenes SVG codificadas.
Los archivos SVG incrustados contienen JavaScript que ejecuta un instalador del malware de Qakbot codificado en Base64 que se descarga de manera automática mediante el navegador del objetivo.
El malware especialmente diseñado para Windows, tiene la capacidad de desplegar cargas útiles como Cobalt Strike, Brute Ratel y cepas de ransomware.
Una vez que se abre el documento HTML, el JavaScript se descodifica y ejecuta, lo que permite a los atacantes realizar comportamientos maliciosos a nivel local, incluida la creación de ejecutables de malware.
Esta técnica, también conocida como contrabando HTML, permite eludir las herramientas de seguridad y los firewalls del entorno.
Durante el análisis del ataque, el equipo de seguridad de Cisco detecto una función en el BLOB SVG que convierte una variable JS incluida “text” en un BLOB binario, seguida de una función que convierte el BLOB en un archivo ZIP.
Es decir, el JavaScript inyectado en la imagen SVG contiene todo el archivo ZIP malicioso, por lo que el malware es ensamblado por el JavaScript directamente en el dispositivo de la víctima.
Según Cisco, la carga maliciosa se construye directamente en el dispositivo infectado y no se transmite a través de la red, por lo que la técnica tiene la capacidad de eludir la detección de dispositivos de seguridad diseñados para filtrar el contenido malicioso en tránsito.
En otras palabras, el uso de un archivo SVG insertado dentro de un adjunto HTML ayuda a los atacantes a ofuscar aún más la carga útil y aumenta las posibilidades de evadir la detección del sistema.
Por ello, es necesario que todos los administradores desplieguen medidas antimalware para proteger sus sistemas contra los ataques de contrabando HTML.
Recomendaciones:
Medidas para proteger los sistemas de los ataques de contrabando HTML
Bloquee la ejecución de JavaScript o VBScript
Mantenga todos sus dispositivos actualizados y parcheados
Active la autenticación de dos factores
No descargue archivos sospechosos
No abra enlaces que provengan de fuentes desconocidas
Ejecute soluciones anti-malware
Referencias:
https://thehackernews.com/2022/12/hacking-using-svg-files-to-smuggle-qbot.html?&web_view=true&m=1
https://heimdalsecurity.com/blog/hackers-use-svg-files-to-spread-qbot-malware-onto-windows-systems/
https://www.blackberry.com/us/en/solutions/endpoint-security/ransomware-protection/qakbot
SÍGUENOS