Angreifer schleusen QBot-Malware per SVG-Dateien in Windows-Systeme ein

Stefan Beiersmann,
Linkedin
Malware (Bild: Shutterstock.com/Maksim Kabakou)

Die Hintermänner nutzen eine HTML-Smuggling genannte Technik. Ein Dateianhang im HMTL-Format enthält eine SVG-Datei, in der der eigentliche Schadcode versteckt ist.

Forscher von Cisco Talos haben eine neue Phishing-Kampagne aufgedeckt, um die Malware QBot zu verbreiten. Die Hintermänner nutzen dabei eine HTML-Smuggling genannte Technik: Ein Dateianhang im HTML-Format erlaubt es, in JavaScript versteckte Malware einzuschleusen. Der JavaScript-Code wiederum wird in diesem Fall in SVG-Dateien versteckt.

Wird das an eine Phishing-E-Mail angehängte HTML-Dokument geöffnet, wird der enthaltene JavaScript-Code dekodiert und ausgeführt. Bei der aktuellen Kampagne wurde ein Installer für QBot in Base64 kodiert und in eine SVG-Datei eingebettet. QBot wird benutzt, um Ransomware oder Angriffswerkzeuge wie Cobalt Strike oder Brute Ratel herunterzuladen.

Die Technik erlaubt es Bedrohungsakteuren, Sicherheitsanwendungen und Firewall zu umgehen, da der eigentliche Schadcode in einer anscheinend harmlosen Grafikdatei im SVG-Format versteckt ist. Das SVG-Format bietet Hackern den Vorteil, dass es XML-basiert ist und HTML-Tags enthalten kann. Um den Schadcode auszuführen, muss die SVG-Datei über die Tags Embed oder Iframe geladen werden, die eigentlich für die Anzeige der Grafikdatei verantwortlich sind.

Die Cisco-Forscher fanden bei der Untersuchung des JavaScript-Codes in der SVG-Datei eine Funktion, die eine enthaltene JavaScript-Variable “Text” in einen Binary Blob umwandelt. Eine weitere Funktion konvertierte den Blog anschließend in eine Zip-Archiv. “In diesem Fall enthält das in das SVG-Bild eingeschleuste JavaScript das gesamte bösartige Zip-Archiv, und die Malware wird dann von dem JavaScript direkt auf dem Gerät des Endbenutzers zusammengefügt”, teilte Cisco mit.

“Da die Nutzlast der Malware direkt auf dem Computer des Opfers erstellt und nicht über das Netzwerk übertragen wird, kann diese HTML-Schmuggeltechnik die Erkennung durch Sicherheitsgeräte umgehen, die bösartige Inhalte während der Übertragung filtern sollen”, ergänzten die Forscher. Zudem seit das Zip-Archiv passwortgeschützt, um eine Erkennung durch Sicherheitsanwendungen zu umgehen.

Cisco rät, für heruntergeladene Inhalte die Ausführung von JavaScript und auch VBScript zu unterbinden, um HTML-Smuggling-Angriffe abzuwehren.