Categories: CybersicherheitVirus

Angreifer schleusen QBot-Malware per SVG-Dateien in Windows-Systeme ein

Forscher von Cisco Talos haben eine neue Phishing-Kampagne aufgedeckt, um die Malware QBot zu verbreiten. Die Hintermänner nutzen dabei eine HTML-Smuggling genannte Technik: Ein Dateianhang im HTML-Format erlaubt es, in JavaScript versteckte Malware einzuschleusen. Der JavaScript-Code wiederum wird in diesem Fall in SVG-Dateien versteckt.

Wird das an eine Phishing-E-Mail angehängte HTML-Dokument geöffnet, wird der enthaltene JavaScript-Code dekodiert und ausgeführt. Bei der aktuellen Kampagne wurde ein Installer für QBot in Base64 kodiert und in eine SVG-Datei eingebettet. QBot wird benutzt, um Ransomware oder Angriffswerkzeuge wie Cobalt Strike oder Brute Ratel herunterzuladen.

Die Technik erlaubt es Bedrohungsakteuren, Sicherheitsanwendungen und Firewall zu umgehen, da der eigentliche Schadcode in einer anscheinend harmlosen Grafikdatei im SVG-Format versteckt ist. Das SVG-Format bietet Hackern den Vorteil, dass es XML-basiert ist und HTML-Tags enthalten kann. Um den Schadcode auszuführen, muss die SVG-Datei über die Tags Embed oder Iframe geladen werden, die eigentlich für die Anzeige der Grafikdatei verantwortlich sind.

Die Cisco-Forscher fanden bei der Untersuchung des JavaScript-Codes in der SVG-Datei eine Funktion, die eine enthaltene JavaScript-Variable “Text” in einen Binary Blob umwandelt. Eine weitere Funktion konvertierte den Blog anschließend in eine Zip-Archiv. “In diesem Fall enthält das in das SVG-Bild eingeschleuste JavaScript das gesamte bösartige Zip-Archiv, und die Malware wird dann von dem JavaScript direkt auf dem Gerät des Endbenutzers zusammengefügt”, teilte Cisco mit.

“Da die Nutzlast der Malware direkt auf dem Computer des Opfers erstellt und nicht über das Netzwerk übertragen wird, kann diese HTML-Schmuggeltechnik die Erkennung durch Sicherheitsgeräte umgehen, die bösartige Inhalte während der Übertragung filtern sollen”, ergänzten die Forscher. Zudem seit das Zip-Archiv passwortgeschützt, um eine Erkennung durch Sicherheitsanwendungen zu umgehen.

Cisco rät, für heruntergeladene Inhalte die Ausführung von JavaScript und auch VBScript zu unterbinden, um HTML-Smuggling-Angriffe abzuwehren.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Präventive IT-Sicherheit im KI-Zeitalter

Kein anderer Sektor wird von der KI-Entwicklung so stark aufgewirbelt wie die IT-Sicherheit, sagt Ray…

6 Stunden ago

Mercedes und Siemens entwickeln digitalen Energiezwilling

Ziel ist es, das Zusammenspiel von Energieeffizienz und Nachhaltigkeit in der Fabrikplanung zu verbessern.

8 Stunden ago

Podcast: Zero Trust zum Schutz von IT- und OT-Infrastruktur

"Das Grundprinzip der Zero Trust Architektur hat sich bis heute nicht geändert, ist aber relevanter…

1 Tag ago

Paradies für Angreifer: überfällige Rechnungen und „Living-off-the-Land“

HP Wolf Security Threat Insights Report zeigt, wie Cyberkriminelle ihre Angriffsmethoden immer weiter diversifizieren, um…

1 Tag ago

EU-Staaten segnen Regulierung von KI final ab

AI Act definiert Kennzeichnungspflicht für KI-Nutzer und Content-Ersteller bei Text, Bild und Ton.

2 Tagen ago

eco zum AI Act: Damit das Gesetz Wirkung zeigen kann, ist einheitliche Auslegung unerlässlich

Aufbau von Aufsichtsbehörden auf nationaler und EU-Ebene muss jetzt zügig vorangetrieben werden.

2 Tagen ago