Las campañas de phishing que utilizan el malware QBot han adoptado un nuevo método de distribución que utiliza archivos SVG. En ellos esconden un HTML que crea localmente un instalador del malware para Windows.
Este ataque se realiza a través de archivos SVG, utilizados en gráficos y animaciones, que contienen JavaScript y que vuelven a incorporar un instalador de malware QBot codificado en Base64 que se descarga automáticamente a través del navegador.
QBot es un malware que llega a través de un correo electrónico de phishing para llevar a cabo ciberataques.
Esconder malware en el HTML es una técnica utilizada para pasar cargas útiles de JavaScript codificadas dentro de un archivo adjunto HTML o un sitio web. De esta forma, cuando se abre el documento HTML, se decodifica el JavaScript y lo ejecuta, lo que permite que el script realice localmente un comportamiento malicioso, incluida la creación de ejecutables de malware.
Esta técnica permite a los actores de amenazas eludir las herramientas de seguridad y los firewalls que monitorizan archivos maliciosos.
Los investigadores de Cisco Talos han descubierto una nueva campaña de phishing con QBot que comienza con un correo electrónico de cadena de respuesta robado que solicita al usuario que abra un archivo HTML adjunto.
Este archivo adjunto contiene emplea esta técnica que utiliza una imagen SVG (gráficos vectoriales escalables) codificada en Base64 en el HTML para ocultar el código malicioso.
A diferencia de los tipos de imágenes, como los archivos JPG y PNG, los SVG son imágenes vectoriales basadas en XML que pueden incluir etiquetas HTML <script>, una característica legítima de ese formato de archivo.
Cuando un documento HTML carga un archivo SVG a través de una etiqueta <embed> o <iframe>, se muestra la imagen y se ejecuta JavaScript.
QBot sigue causando estragos
Los expertos de Cisco decodificaron el código JavaScript en el blob (binary large object, elementos utilizados en las bases de datos para almacenar datos de gran tamaño que cambian de forma dinámica) SVG. Con ello han conseguido encontrar una función que convierte un ‘texto’ variable JS incluido en un blob binario, seguido de una función que convierte el blob en un archivo ZIP.
«En este caso, el JavaScript introducido dentro de la imagen SVG contiene todo el archivo zip malicioso, y el código JavaScript ensambla el malware directamente en el dispositivo del usuario final», explican desde la compañía.
Debido a que la carga útil del malware se construye directamente en la máquina de la víctima y no se transmite a través de la red, esta técnica de HTML puede eludir la detección de los dispositivos de seguridad diseñados para filtrar el contenido malicioso en tránsito.
El archivo descargado está protegido con contraseña para evitar que los antivirus lo detecten, pero el código HTML que abre la víctima contiene la contraseña del archivo ZIP.
Si se abre, se extrae un archivo ISO en la máquina de la víctima que lleva a una infección típica «ISO → LNK → CMD → DLL» o alguna variación de la misma.
Se supone que el uso del archivo SVG para ocultar código malicioso dentro de un archivo adjunto HTML ayuda a esconder aún más la carga útil y aumenta las posibilidades de evadir la detección.
Para proteger los sistemas de este tipo de amenazas, los expertos recomiendan bloquear la ejecución de JavaScript o VBScript para el contenido descargado.
Cabe recordar que QBot explotó recientemente una vulnerabilidad en Windows que permitía que sus archivos adjuntos eludieran las advertencias de seguridad de Mark of the Web. No obstante, Microsoft ya ha solucionado esta problemática con la actualización de seguridad de este mes de diciembre.