QBot kötü amaçlı yazılım kimlik avı kampanyaları, HTML kaçakçılığını gerçekleştirmek için bir dağıtım yöntemi olarak SVG resim dosyalarını kullanır. Bu yöntem, Windows için kullanıcı tarafından yerel olarak çalıştırılabilen kötü amaçlı bir yükleyici oluşturur.
Base64 kodlu bir QBot kötü amaçlı yazılım yükleyicisi, bu saldırıyı gerçekleştirmek için kullanılabilecek JavaScript içeren gömülü SVG görüntüleri aracılığıyla yeniden birleştirilir. Hedefin tarayıcısı açılır açılmaz yükleyici otomatik olarak indirilir ve kurulur.
SVG’ye Dayalı HTML Kaçakçılığı
Kötü amaçlı QBot kötü amaçlı yazılımını dağıtan bir kimlik avı e-posta iletisi, aşağıdakiler gibi diğer yükleri de yükleyebilir:-
- kobalt saldırısı
- kaba Ratel
- Fidye yazılımı
Adından da anlaşılacağı gibi, HTML kaçakçılığı, JavaScript yüklerini arkalarında herhangi bir iz bırakmayacak şekilde HTML eklerine veya web sitelerine şifrelemeyi içerir.
HTML belgeleri, JavaScript’in kodunu otomatik olarak çözer ve açıldığında çalıştırır. Yerel olarak çalışan komut dosyalarının, kötü amaçlı yazılım yürütebilecek yürütülebilir dosyalar oluşturmak da dahil olmak üzere kötü amaçlı işlevler gerçekleştirmesine izin verilebilir.
Tehdit aktörleri, çevrede aşağıdaki varlıklar tarafından tespit edilmekten kaçınmak için bu yöntemi kullanır:-
Cisco Talos araştırmacıları tarafından gözlemlenen yeni bir kampanyada, QBot kimlik avı e-postaları, kullanıcıları çalıntı e-posta adresleri kullanılarak gönderilen bir e-posta yanıt zincirine eklenmiş bir HTML belgesini açmaya ikna etmek için kullanılıyor.
Base64 ile kodlanmış bir SVG görüntüsü, HTML kaçakçılığı tekniğinin yardımıyla gizlenen kötü amaçlı kodu gizlemek için bu ekin HTML’sine gömülüdür.
SVG, tamamen XML’e dayalı bir vektör görüntü formatı olduğundan, HTML’yi dahil etme yeteneğine sahiptir.