Bedreigingsactoren proberen gebruikers op te lichten uit hun middelen, schadelijke URL’s in lege afbeeldingsbestanden te verbergen en antivirusbescherming te omzeilen.
Aanvallers ontdekten een manier om antivirusdiensten zoals VirusTotal te omzeilen door malware te implanteren in “lege afbeeldingen” in e-mails, ontdekten onderzoekers van Avanan, een bedrijf van Check Point Software.
“Hackers kunnen zich met deze techniek op vrijwel iedereen richten. Zoals bij de meeste aanvallen, is het idee om het te gebruiken om iets van de eindgebruiker te krijgen. Elke gebruiker met toegang tot inloggegevens of geld is een levensvatbaar doelwit”, vertelde Jeremy Fuchs, een cybersecurity-onderzoeker bij Avanan, aan Cybernews.
Zoals bij de meeste phishing-aanvallen richten aanvallers zich via e-mail op slachtoffers. De campagne presenteert potentiële slachtoffers een frauduleus document dat zogenaamd afkomstig is van DocuSign, een dienst voor het beheer van elektronische overeenkomsten.
“Hackers kunnen zich met deze techniek op vrijwel iedereen richten. Zoals bij de meeste aanvallen, is het idee om het te gebruiken om iets van de eindgebruiker te krijgen. Elke gebruiker met toegang tot inloggegevens of geld is een levensvatbaar doelwit.”
Gerichte gebruikers wordt gevraagd het document te bekijken en te ondertekenen. Interessant is dat, in tegenstelling tot andere phishing-campagnes, de link gebruikers naar een legitieme DocuSign-pagina brengt.
Op die manier misleiden aanvallers het slachtoffer om de algehele e-mail te vertrouwen. Het echte gevaar schuilt echter in de HTM-bijlage die samen met de DocuSign-link wordt verzonden.
Volgens de
onderzoekers bevat de bijlage een SVG-afbeelding die is gecodeerd met Base64, een binair-naar-tekstcoderingsschema. Terwijl de afbeelding leeg is, bevat het bestand nog steeds actieve inhoud, een Javascript die omleidt naar de kwaadaardige URL.
“Wat nieuw en uniek is, is het gebruik van een lege afbeelding met actieve inhoud erin – een javascript-afbeelding – die doorverwijst naar een kwaadaardige URL. Het gebruikt in wezen een gevaarlijke afbeelding, met daarin actieve inhoud die traditionele services zoals VirusTotal niet detecteren”,
