高度警惕!武器化SVG文件助力加密网络钓鱼攻击
2024-4-11 15:26:10 Author: mp.weixin.qq.com(查看原文) 阅读量:13 收藏

ARC Labs最近分析了凭证收集活动中使用的网络钓鱼电子邮件,该活动利用诱饵通知目标他们收到了语音消息,需要访问链接才能访问它。对有效负载的分析揭示了严重混淆的HTM 数据,当页面在目标系统上呈现时,这些数据执行嵌入在SVG图像中的JavaScript代码。在SVG数据中,ARC Labs发现了加密数据,其中包含第二阶段页面,提示目标输入凭据以访问语音消息。对JavaScript代码的分析显示,第二阶段页面数据在多个不同的HTML 类中进行了加密,并使用CryptoJS进行动态解密,从而可以在JavaScript中对数据进行加密和解密。与源自网络钓鱼电子邮件的动态呈现的加密数据的常见情况一样,解密密钥可以通过代码分析来恢复。攻击者从SVG图像中的加密数据中吸引恶意JavaScript代码,找到绕过安全措施和利用人为漏洞的新方法。SVG文件的武器化代表了网络犯罪分子钓鱼活动中所使用策略的重大转变。这种方法不仅隐藏了恶意意图,而且使网络钓鱼尝试的分析和检测变得复杂。
武器化SVG文件新发现
Binary Defense公司的ARC Labs于4月9日发布的博文显示,攻击者现在利用加密的网络钓鱼电子邮件,这些电子邮件利用可扩展矢量图形(SVG)文件来执行恶意JavaScript代码。网络钓鱼活动从一封伪装成新语音消息通知的电子邮件开始。系统会提示收件人点击链接来访问此消息,这是一种利用人类好奇心和沟通紧迫性的经典吸引力。
单击该链接后,目标将被带到一个加载了严重混淆的HTML数据的页面。
这就是攻击者的创造力发挥作用的地方。他们将JavaScript代码嵌入到SVG图像中,一旦页面在受害者的系统上呈现,就会执行该代码。
这标志着网络钓鱼活动的一次令人担忧的演变,旨在通过看似无害的语音消息通知欺骗目标来获取凭据。
此前,据CoFense公司的2024年3月发布的分析报告,SVG文件可以通过两种主要方式传播恶意软件:
1、JavaScript直接下载:原始SVG文件包含嵌入的URL,打开后会触发恶意负载的下载。更高版本在下载时显示图像以分散受害者的注意力。
2、HTML样式嵌入对象:最新的SVG文件包含恶意负载,无需外部资源。这些文件通常依赖于受害者的好奇心来与传递的文件进行交互。
SVG:攻击向量
SVG文件通常因其可扩展性和质量而在Web图形中使用,现在正被用来执行 JavaScript。该方法特别阴险,因为它绕过了可能不会检查图像文件中是否存在恶意代码的传统安全措施。
从SVG文件执行JavaScript的插图
滥用SVG文件传播恶意软件的情况可以追溯到2015年,勒索软件是最先通过此媒介传播的勒索软件之一。
2017年1月,SVG文件被用来通过URL下载Ursnif恶意软件。202 年发生了重大飞跃,当时SVG通过嵌入式 .zip 存档传播QakBot等恶意软件,展示了从外部下载到HTML走私技术的转变。
网络犯罪分子重新利用可扩展矢量图形(SVG)文件来传播恶意软件,这种技术随着AutoSmuggle工具的出现而得到了显着发展。AutoSmuggle于2022年5月推出,有助于在HTML或SVG内容中嵌入恶意文件,使攻击者更容易绕过安全措施。
AutoSmuggle在GitHub上的发布标志着一个转折点。该工具将可执行文件或存档嵌入到SVG/HTML文件中,然后在受害者打开时解密并执行。此方法巧妙地避开了通常会检测和隔离直接电子邮件附件的安全电子邮件网关(SEG)。
著名SVG文件投递活动的感染链

加密数据和第二阶段

在SVG中,ARC Labs发现了加密数据,解密后,揭示了网络钓鱼攻击的第二阶段。此阶段会提示受害者输入凭据以访问语音消息。
CryptoJS有助于对这些数据进行解密,CryptoJS是一个允许在JavaScript中加密和解密数据的库。
这种攻击的复杂性在于跨多个HTML类对第二阶段页面数据进行加密,并使用 CryptoJS动态解密。这种方法不仅隐藏了恶意意图,而且使网络钓鱼尝试的分析和检测变得复杂。
ARC实验室在运行时对JavaScript代码的分析对于揭示这种攻击的机制至关重要。
通过在每次调用CryptoJ 时设置断点,研究人员恢复了解密密钥,这是解密内容和了解网络钓鱼尝试的全部范围的关键一步。加密数据存储在四个base64编码的 HTML类中,这些类以指定的顺序连接在一起,然后使用从硬编码密码生成的密钥进行加密。
使用CryptoJS.offer解密加密数据的过程
该案例研究清楚地提醒人们网络威胁的不断演变以及攻击者用来破坏个人信息的创新方法。
当电子邮件提示操作时,尤其是那些导致请求凭据输入的外部页面的电子邮件,应敦促用户谨慎行事。
对于组织来说,全面的安全措施(包括对新出现的威胁的分析和理解)的重要性怎么强调都不为过。
随着攻击者不断改进其技术,保持知情并保持警惕是抵御这些加密网络钓鱼攻击的最佳防御措施。
网络钓鱼活动中SVG文件的武器化代表了网络犯罪分子所使用策略的重大转变。攻击者从SVG图像中的加密数据中吸引恶意JavaScript代码,找到绕过安全措施和利用人为漏洞的新方法。
ARC Labs进行的分析阐明了这种复杂的攻击方法,提供了对其机制的宝贵见解,并强调了提高意识和安全实践的必要性。
参考资源:
1.https://www.binarydefense.com/resources/blog/analyzing-cryptojs-encrypted-phishing-attempt/
2.https://gbhackers.com/beware-of-encrypted-phishing-attack/
3.https://www.binarydefense.com/arclabs/
4.https://gbhackers.com/hackers-using-weaponized-svg-files-in-cyber-attacks/#google_vignette
5.https://cofense.com/blog/svg-files-abused-in-emerging-campaigns/
原文来源:网空闲话plus
“投稿联系方式:010-82992251   [email protected]


文章来源: https://mp.weixin.qq.com/s?__biz=MzkyMzAwMDEyNg==&mid=2247543250&idx=2&sn=618b7a94fad4f444473cc96347b37ec1&chksm=c1e9a583f69e2c9565c3479cf369d96d51574232933bd0fe604b75341632f001b6f4610710a9&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh