Avanan araştırmacıları, dünya çapında yayılan ve bilgisayar korsanlarının HTML eklerine boş resimler ekledikleri “Boş Görüntü” adlı yeni bir saldırı gördüler. Eki açarken, kullanıcı otomatik olarak kötü amaçlı bir URL’ye yönlendirilir.
Bu e-posta kampanyası, DocuSign’dan geldiği iddia edilen bir belgeyle başlıyor, bu çok meşru görünüyor. Kullanıcıdan, doğrudan kendilerine sağlandıktan sonra belgeyi incelemesi ve imzalaması istenir.
DocuSign bağlantısı sizi resmi DocuSign web sitesine götürecektir. Bilgisayar korsanları tarafından başlatılan eylemler zinciri, HTM ekine tıkladığınızda başlar.
Bir kurban, “Tamamlanmış Belgeyi Görüntüle” düğmesini tıklarsa meşru bir DocuSign web sayfasına yönlendirilir. Ancak, HTML ekini açmaya çalışırlarsa “Boş Resim” saldırısı başlatılır.
HTML belgesi, kurbanı otomatik olarak kötü amaçlı URL’ye yönlendiren katıştırılmış JavaScript koduna sahip Base64 kodlu bir SVG görüntüsü içerir.
SVG görüntüsü herhangi bir grafik veya şekil içermediğinden ekranda hiçbir şey görüntülenmez. Tek yaptığı kötü amaçlı komut dosyası için yer tutucu olarak hizmet etmek.
“Bilgisayar korsanları, geleneksel tarama hizmetlerini atlamak için kötü amaçlı URL’yi boş bir görüntünün içinde saklıyor”, Avanan.
SVG görüntüsüne gömülü JavaScript, bir HTML belgesi tarafından görüntülendiğinde yürütülür.