新型QBot钓鱼攻击利用SVG文件传播恶意软件

关键要点

• 攻击者利用SVG文件进行HTML走私，将QBot恶意软件传播到Windows系统。
• 攻击者通过盗取的回复链邮件吸引受害者打开带有恶意代码的HTML附件。
• SVG文件中的JavaScript代码会在受害者设备上执行，生成恶意ZIP档案。

根据的报道，Windows机器近期成为新一轮的目标。该攻击利用可缩放矢量图形文件（SVG）来实现HTML走私。攻击者通过利用被盗的邮件回复链来诱导潜在受害者打开一个包含恶意代码的HTML文件附件。根据CiscoTalos的报告，该文件采用了基于base64编码的SVG图像进行恶意代码隐藏。

打开该SVG文件后，将执行一段JavaScript代码，促使嵌入的JS变量“text”转换为二进制blob，并随后转换为一个ZIP档案。“在这个案例中，嵌入在SVG图像中的JavaScript包含了整个恶意ZIP档案。然后，这个恶意软件会直接在最终用户的设备上组装。由于恶意负载直接在受害者的机器上构建，而不是通过网络传输，这种HTML走私技术能够绕过专门用于过滤在途恶意内容的安全设备，”CiscoTalos表示。

影响概述

攻击描述 | 技术手段 | 受害者形态 | 传播方式
—|—|—|—
QBot钓鱼攻击 | HTML走私，SVG文件 | Windows用户 | 通过邮件附件传播

这种新型攻击手法表明，攻击者不断创新，以潜逃于安全防护之下，用户需提高警惕，谨慎处理不明邮件和附件。