Phishers Use Blank Images to Disguise Malicious Attachments
2023/01/20 InfoSecurity — フィッシング詐欺師たちが、従来からのセキュリティ・フィルタを回避するために、透明の画像イメージを使用するという新たな革新的な手法を、セキュリティ研究者たちが発見した。Check Point の事業会社である Avanan が検知した問題の電子メールは、一見すると正規の DocuSign メッセージとして受信されたものだ。メール本文に記載されたリンクは、ユーザーを通常の DocuSign のページへと誘導するものだが、末尾に記載された HTML 添付ファイルは疑わしいものだった。
この、問題の HTML ファイルには、Base64 でエンコードされた SVG 画像が含まれていた。
Avanan は、「このイメージは、アクティブなコンテンツを含む透明の画像だ。そして、イメージの中には JavaScript が組み込まれている。つまり、この画像により、自動的に悪意の URL へとリダイレクトされることになる。ハッカーたちは、従来からのスキャン・サービスを回避するために、悪意の URL を透明の画像イメージに隠し持っているのだ」と述べている。
つまり、このリンクをクリックすると、ユーザーは自動的に、悪意のサイトへと移動してしまう。
Avanan は、「これは、メッセージの真の意図を難読化するための革新的な方法である。したがって、VirusTotal をバイパスし、従来からの Click-Time Protection でスキャンされることもなくなる。難読化に難読化を重ねることで、ほとんどのセキュリティ・サービスは、これらの攻撃に対して無力化されている」と結論付けている。
これは、数年前に Avanan が発見した MetaMorph 攻撃のバリエーションと見ることができるという。フィッシング行為者は “meta refresh” を用いて、ローカルにホストされている HTML 添付ファイルから、パブリックなインターネット上のフィッシング・ページへと、ユーザーをリダイレクトさせていた。この “meta refresh” とは、一定の時間が経過した後に、その時点の Web ページを自動的に更新するよう、Web ブラウザに指示する機能である。
これらの、一連の脅威を軽減するため、セキュリティ管理者は、受信メールに含まれる HTML などの添付ファイルを疑うべきであり、さらに言うなら、完全にブロックすることが強く求められている。事実上、実行ファイルと同様の、脅威として考えるべきだ。
2022/12/14 の QBot の新しい戦略:SVG ベクター画像ファイル内にマルウエア をポストしましたが、そちらは Cisco Talos の調査を元にした記事でした。SVG は XML ベースのベクターイメージであるため、HTMLの <script> タグを含むことが可能だと記されていました。 以下は、マルウェアとラスター・イメージに取り込んだ、サイバー攻撃の事例となります。
2022/11/14:Dropbox API を悪用する Worok:PNG にマルウェア
2022/11/10:PyPI 内の apicolor::画像ファイルに悪意のコード隠蔽
2022/09/30:Windows Logo に隠されたマルウェア
IoT OT Security News 
You must be logged in to post a comment.