لأداء تهريب HTML ، تستخدم حملات التصيد الاحتيالي للبرامج الضارة في QBot ملفات صور SVG كطريقة للتوزيع. تنشئ هذه الطريقة أداة تثبيت ضارة لنظام التشغيل Windows والتي يمكن للمستخدم تشغيلها محليًا.
يُعاد تجميع مُثبِّت البرامج الضارة QBot المشفرة باستخدام Base64 عبر صور SVG المضمنة التي تحتوي على JavaScript والتي يمكن استخدامها لتنفيذ هذا الهجوم. بمجرد فتح متصفح الهدف ، سيتم تنزيل برنامج التثبيت وتثبيته تلقائيًا.
تهريب HTML على أساس SVG
يمكن لرسالة البريد الإلكتروني للتصيد الاحتيالي التي تسلم برنامج QBot الخبيث أن تقوم أيضًا بتحميل حمولات أخرى ، مثل ما يلي: -
- الكوبالت سترايك
- بروت راتيل
- برامج الفدية
كما يوحي الاسم ، يتضمن تهريب HTML تشفير حمولات JavaScript في مرفقات HTML أو مواقع الويب بطريقة لا تترك أي أثر وراءها.
تقوم مستندات HTML تلقائيًا بفك تشفير JavaScript وتنفيذها عند فتحها. يمكن السماح للبرامج النصية التي يتم تشغيلها محليًا بأداء وظائف ضارة ، بما في ذلك إنشاء ملفات تنفيذية يمكنها تنفيذ برامج ضارة.
يستخدم القائمون بالتهديد هذه الطريقة حتى يتمكنوا من تجنب اكتشافهم في المحيط من قبل الكيانات التالية: -
- أدوات الأمان
- جدران الحماية
في حملة جديدة لاحظها باحثو Cisco Talos ، تُستخدم رسائل التصيد الاحتيالي من QBot لجذب المستخدمين لفتح مستند HTML مرفق بسلسلة رد بريد إلكتروني تم إرسالها باستخدام عناوين بريد إلكتروني مسروقة.
يتم تضمين صورة SVG المشفرة باستخدام base64 في HTML لهذا المرفق لإخفاء التعليمات البرمجية الضارة التي تم إخفاؤها بمساعدة تقنية تهريب HTML.
نظرًا لأن SVG هو تنسيق صورة متجه يعتمد بالكامل على XML ، فإنه لديه القدرة على تضمين علامات HTML <script> وهذه الميزة هي واحدة من أفضل القدرات الشرعية لهذا التنسيق.
في حين أن أنواع الصور النقطية الأخرى مثل ملفات JPG و PNG لا تأتي مع مثل هذه القدرات.
هنا سيتم تنفيذ JavaScript وصورة تنسيق SVG وعرضهما بمجرد أن يبدأ مستند HTML في تحميل ملف SVG عبر إحدى العلامات التالية: -
<embed>
<iframe>
في السنوات الأخيرة ، أصبحت هجمات تهريب HTML أكثر شيوعًا وأثبتت قدرتها على تجاوز بعض الأجهزة الأمنية.
ما يجب على المستخدمين التأكد منه بشكل أساسي هو أنه يجب حظر تنفيذ كل من VBScript و JavaScript للمحتوى الذي تم تنزيله من أجل منع حدوث هجمات تهريب HTML.
من الجيد أيضًا توعية المستخدمين حول مخاطر تهريب HTML من أجل منع الهجمات عليهم في المستقبل.