New Blank Image attack hides phishing scripts in SVG files
นักวิจัยด้านความปลอดภัยจาก Avanan พบเทคนิคใหม่ของฟิชชิ่งที่ซ่อนไฟล์ SVG เปล่าไว้ในไฟล์แนบ HTML ที่แสร้งทำเป็นเอกสาร DocuSign โดยนักวิจัยได้ตั้งชื่อการโจมตีฟิชชิ่งนี้ว่า Blank Image พวกเขาอธิบายว่าการโจมตีด้วยฟิชชิ่งสามารถหลบเลี่ยงการตรวจจับ URL ที่เปลี่ยนเส้นทางได้
โดยอีเมลฟิชชิ่งที่ส่งถึงเหยื่อจะอ้างว่าเป็นเอกสารจาก DocuSign เนื่องจากเหยื่อจำนวนมากคุ้นเคยจากงานในสำนักงาน ในเอกสารนั้นจะขอให้เหยื่อตรวจสอบและลงนามในเอกสารที่มีชื่อว่า Scanned Remittance Advicehtm หากเหยื่อคลิกที่ปุ่ม View Completed Document พวกเขาจะถูกพาไปที่หน้าเว็บ DocuSign ของแท้ อย่างไรก็ตามหากพวกเขาพยายามเปิดไฟล์แนบ HTML การโจมตี Blank Image จะถูกเปิดใช้งาน
ในไฟล์ HTML จะมีไฟล์ SVG ที่เข้ารหัสโดยใช้รูปแบบการเข้ารหัส Base64 พร้อมโค้ด JavaScript ที่ฝังไว้เพื่อเปลี่ยนเส้นทางเหยื่อโดยอัตโนมัติไปยัง URL ที่เป็นอันตราย โดยไฟล์ SVG จะไม่มีกราฟิกหรือรูปภาพใด ๆ ดังนั้นจึงไม่แสดงอะไรบนหน้าจอ บทบาทของมันเป็นเพียงตัวยึดตำแหน่งสำหรับสคริปต์ที่เป็นอันตรายเท่านั้น เป็นที่น่าสังเกตว่าการใช้ไฟล์ SVG ภายในไฟล์ HTML ที่มีรหัสที่มีการเข้า base64 นั้นไม่ใช่เรื่องใหม่ ซึ่งเทคนิคเดียวกันนี้ถูกพบในมัลแวร์ส Qbot ในเดือนธันวาคม 2022
https://www.bleepingcomputer.com/news/security/new-blank-image-attack-hides-phishing-scripts-in-svg-files/