AhnLab Security (ASEC) сообщила о новом случае обнаружения фишинговой вредоносной программы, которая распространяется в формате Scalable Vector Graphics (SVG).
Описание
SVG - это формат файлов, используемый для создания векторных изображений, таких как иконки, логотипы и графики. Вредоносные программы в формате SVG встраивают вредоносные скрипты с использованием атрибута src тега script, закодированные в Base64, чтобы обойти обнаружение файлов.
Новые вредоносные программы SVG представляют собой страницу, которая маскируется под CAPTCHA, и призывает пользователей нажать на кнопку. Она содержит скрипты, созданные с целью затруднить анализ. Некоторые из этих скриптов блокируют доступ автоматизированных инструментов, таких как вебдрайверы и прокси-серверы, перенаправляя трафик на пустую страницу. Другие блокируют определенные комбинации клавиш, такие как F12 или Ctrl+U, чтобы предотвратить просмотр исходного кода и инструментов разработчика. Также блокируется правый клик мыши, чтобы предотвратить контекстное меню.
Определение наличия отладчика также используется для обнаружения. Если время выполнения кода превышает установленный предел, считается, что отладчик активен, и пользователь перенаправляется на легитимный сайт. В целом, после прохождения всех этих проверок, если пользователь нажимает кнопку проверки CAPTCHA, отправляется GET-запрос на указанный URL, который запускает дальнейшие вредоносные действия.
Обычно, после нажатия кнопки, пользователь перенаправляется на фишинговый сайт, выдаваемый за страницу входа Microsoft. Однако, в текущем случае, финальный URL неизвестен. Несмотря на это, пользователи должны проявлять осторожность и избегать открытия файлов, прикрепленных к электронным письмам с неизвестных источников, особенно в формате SVG, чтобы предотвратить возможные хакерские атаки.
Indicators of Compromise
URLs
- https://w2cc.pnkptj.ru/kella@aok5y
MD5
- 42565c1c9ecedd937439713e20838b3a
- caad49bc4c408e6af8aea813cec6cb0b
