Под видом DocuSign: в Беларуси распространяют вредоносное ПО через «пустые» изображения

Источник:: Office Life

25.01.2023 15:25

Исследователи информационной безопасности компании Check Point обнаружили, что хакеры научились обходить службу VirusTotal и корпоративные антивирусы, внедряя вредоносное ПО в пустые изображения формата SVG, помещенные в HTML-файлы, затем отправляемые как вложения в электронных письмах.

Фото: infosecurity.by

Как происходит атака

Пользователю приходит уведомление о том, что ему отправлен документ через сервис управления электронными документами DocuSign. Письмо выглядит вполне обычно и может побудить пользователя к действию. Документ отправляется непосредственно пользователю, и его просят просмотреть и подписать документ. Ссылка ведет на настоящую страницу DocuSign, и в ней нет ничего подозрительного.

В письме находится вложение HTML. Если пользователь решит посмотреть вложение и открыть его, то начинается цепочка заражения.

Хакеры помещают пустые изображения в HTML-вложения. Во вложении находится закодированное SVG-изображение, которое содержит JavaScript-код, перенаправляющий на вредоносный URL-адрес, где далее происходит заражение компьютера пользователя. При открытии вложения пользователь сразу автоматически перенаправляется на вредоносный веб-адрес.

Что делать, чтобы не стать жертвой

Чтобы не стать жертвой таких атак, рекомендуется:

пользователям — с осторожностью относиться к любым письмам, содержащим вложения в формате HTML или HTM;
администраторам — рассмотреть возможность блокирования всех вложений HTML и относиться к ним так же, как к исполняемым файлам (.exe, .cab).