使用SVG文件将QBot恶意软件走私到Windows系统的黑客

涉及Qakbot恶意软件的网络钓鱼活动使用嵌入HTML电子邮件附件中的可缩放矢量图形（SVG）图像。

思科Talos发现了这种新的分发方法，该公司表示，它发现了带有HTML附件和编码SVG图像的欺诈电子邮件，其中包含HTML脚本标签。

HTML走私是一种技术，它依赖于使用HTML和JavaScript的合法特性来运行诱饵附件中包含的编码恶意代码，并在受害者的机器上组装有效负载，而不是通过HTTP请求从远程服务器获取恶意软件。

换言之，这一想法是通过以JavaScript代码的形式存储二进制文件来规避电子邮件网关，当通过web浏览器打开时，该二进制文件将被解码并下载。

这家网络安全公司发现的攻击链涉及一个JavaScript，该JavaScript被走私到SVG图像中，并在不知情的电子邮件收件人启动HTML附件时执行。

研究人员亚当·卡茨（Adam Katz）和杰森·舒尔茨（Jaeson Schultz）表示：“当受害者打开电子邮件中的HTML附件时，SVG图像中的走私JavaScript代码就会启动，创建恶意ZIP存档，然后向用户显示一个对话框来保存文件。”。

ZIP存档也受密码保护，要求用户输入HTML附件中显示的密码，然后提取ISO图像以运行Qakbot特洛伊木马。

Trustwave SpiderLabs最近的研究表明，HTML偷运攻击很常见，在2022年9月，HTML(11.39%)和.htm(2.7%)文件是仅次于.jpg图像(25.29%)的第二大垃圾文件附件类型。

研究人员表示：“拥有强大的端点保护可以防止执行可能混淆的脚本，并防止脚本启动下载的可执行内容”。

“HTML走私能够绕过内容扫描过滤器，这意味着这种技术可能会被更多的威胁行为体采用，并越来越频繁地使用”。