Cyberattaque

Une nouvelle attaque “Blank Image” dissimule des scripts de phishing dans des fichiers SVG

Par Philippe Ternision , le 19 janvier 2023 , mis à jour le 19 janvier 2023 - 3 minutes de lecture
hackeur
Notez l'article

Des tactiques de hameçonnage inhabituelles ont été observées, notamment la dissimulation de fichiers SVG vides dans des pièces jointes HTML qui se font passer pour des documents DocuSign.

Cet exploit a été baptisé “Blank Image” par les chercheurs en sécurité du service de sécurité de messagerie Avanan. Ils précisent que l’exploit permet aux acteurs du phishing d’éviter la détection des URL de redirection.

Campagne de phishing

L’e-mail de phishing envoyé aux victimes potentielles prétendait être un document de DocuSign, une société fréquemment utilisée à des fins frauduleuses car de nombreux destinataires la connaissent bien dans le cadre de leur travail de bureau.

Le document fourni “Scanned Remittance Advice.htm” doit être examiné et signé par la victime.

Email used in the latest phishing campaign
Courriel utilisé dans la dernière campagne de phishing (Avanan)

Parce qu’ils sont fréquemment ignorés par les systèmes de sécurité des e-mails et ont donc plus de chances d’atteindre la boîte de réception de la cible, les fichiers HTML sont populaires parmi les acteurs du phishing.

Une victime est dirigée vers un site Web légitime de DocuSign si elle clique sur le bouton “View Completed Document. Cependant, l’attaque “Image vierge” est lancée si elle tente d’ouvrir la pièce jointe HTML.

Une image au format SVG

Le document HTML comprend une image SVG codée en Base64 avec un code JavaScript intégré qui redirige automatiquement la victime vers l’URL malveillante.

Content of the HTML file
Contenu du fichier HTML (Avanan)

Le fichier HTML contient un graphique SVG codé en base64 avec un code JavaScript intégré qui redirige automatiquement l’utilisateur vers l’URL malveillante.

Deobfuscated SVG code featuring a circle element that has no parameters (empty)
Code SVG désobscurci comportant un élément cercle sans paramètre (vide) (Avanan)

Il est important de se rappeler que les fichiers SVG peuvent déjà être utilisés à l’intérieur d’un fichier HTML dont le code a été obfusqué en base64. En décembre 2022, un malspam transportant le malware Qbot a été vu comme utilisant la même méthode de livraison.

Les SVG sont des images vectorielles basées sur XML, par opposition aux images matricielles comme JPG et PNG, et ils peuvent inclure des balises de script HTML. Le JavaScript intégré à l’image SVG est exécuté lorsqu’elle est affichée par un document HTML utilisant une balise “embed” ou “iframe”.

Le SVG est vide dans la publicité sur le thème de DocuSign qu’un chercheur d’Avanan a découvert. Bien que la victime ne voie rien sur son écran, le code de redirection d’URL est toujours actif.

“Il s’agit d’une approche créative pour masquer l’intention réelle du message. Elle évite d’être analysée par la traditionnelle “protection contre les clics”, ainsi que par VirusTotal. La plupart des services de sécurité sont sans défense contre ces assauts en raison de l’empilement d’obfuscation sur obfuscation. – Avanan

Les utilisateurs doivent faire preuve de prudence lorsqu’ils ouvrent des pièces jointes .HTM et des courriels contenant du code HTML.

Les administrateurs devraient penser à les bloquer, dit Avanan.

 

 

Philippe Ternision

Philippe Ternision

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.