Las campañas de phishing de malware de QBot han adoptado un nuevo método de distribución que utiliza archivos SVG para realizar contrabando de HTML que crea localmente un instalador malicioso para Windows.


Este ataque se realiza a través de archivos SVG incrustados que contienen JavaScript que vuelven a ensamblar un instalador de malware QBot codificado en Base64 que se descarga automáticamente a través del navegador del objetivo.


QBot es un malware de Windows que llega a través de un correo electrónico de phishing que carga otras cargas útiles, incluidos Cobalt Strike , Brute Ratel y ransomware.


Contrabando basado en SVG


El contrabando de HTML es una técnica utilizada para "pasar de contrabando" cargas útiles de JavaScript codificadas dentro de un archivo adjunto HTML o un sitio web.


Cuando se abre el documento HTML, decodificará el JavaScript y lo ejecutará, lo que permitirá que el script realice localmente un comportamiento malicioso, incluida la creación de ejecutables de malware.


Esta técnica permite a los actores de amenazas eludir las herramientas de seguridad y los firewalls que monitorean los archivos maliciosos en el perímetro.


Los investigadores de Cisco Talos observaron una nueva campaña de phishing de QBot que comienza con un correo electrónico de cadena de respuesta robado que solicita al usuario que abra un archivo HTML adjunto.


Este archivo adjunto contiene una técnica de contrabando de HTML que utiliza una imagen SVG (gráficos vectoriales escalables) codificada en base64 incrustada en el HTML para ocultar el código malicioso.



A diferencia de los tipos de imágenes de trama, como los archivos JPG y PNG, los SVG son imágenes vectoriales basadas en XML que pueden incluir etiquetas HTML <script>, que es una característica legítima de ese formato de archivo.


Cuando un documento HTML carga un archivo SVG a través de una etiqueta <embed> o <iframe>, se mostrará la imagen y se ejecutará JavaScript.


Los analistas de Cisco descodificaron el código JavaScript en el blob SVG y encontraron una función que convierte un 'texto' variable JS incluido en un blob binario, seguido de una función que convierte el blob en un archivo ZIP, como se muestra a continuación.



"En este caso, el JavaScript introducido de contrabando dentro de la imagen SVG contiene todo el archivo zip malicioso, y el código JavaScript ensambla el malware directamente en el dispositivo del usuario final", explica Cisco.


"Debido a que la carga útil del malware se construye directamente en la máquina de la víctima y no se transmite a través de la red, esta técnica de contrabando de HTML puede eludir la detección de los dispositivos de seguridad diseñados para filtrar el contenido malicioso en tránsito".


El archivo descargado está protegido con contraseña para evitar el escrutinio de los antivirus, pero el código HTML que abre la víctima contiene la contraseña del archivo ZIP.



Si se abre, se extrae un archivo ISO en la máquina de la víctima que conduce a una infección típica "ISO → LNK → CMD → DLL" o alguna variación de la misma.


Se supone que el uso del archivo SVG para ocultar código malicioso dentro de un archivo adjunto HTML ayuda a ofuscar aún más la carga útil y aumenta las posibilidades de evadir la detección.



Para proteger los sistemas de los ataques de contrabando de HTML, bloquee la ejecución de JavaScript o VBScript para el contenido descargado. QBot explotó recientemente una vulnerabilidad de Windows que permitía que sus archivos adjuntos eludieran las advertencias de seguridad de Mark of the Web , pero Microsoft solucionó esto ayer con el parche de diciembre de 2022 de Microsoft.



Fuente: BC.