Cisco Talos: el troyano Qakbot ahora se propaga dentro de las imágenes SVG

Escrito el 20/12/2022

En el mundo de la seguridad de la información, también existe el contrabando, a través de correo electrónico y fotografías.

Los investigadores de seguridad cibernética de Cisco Talos han descubierto que los operadores de Qakbot distribuyen malware utilizando imágenes SVG incrustadas en archivos adjuntos de correo electrónico HTML. 

Este método de distribución se denomina contrabando de HTML, que utiliza funciones de HTML y JavaScript para ejecutar código malicioso codificado contenido en un archivo adjunto de señuelo y enviar una carga útil al ordenador de la víctima. 

En una cadena de ataques, se inserta una secuencia de comandos de JavaScript dentro de la imagen SVG y se ejecuta cuando el destinatario del correo electrónico inicia el archivo adjunto HTML. 

Una vez ejecutado, el script crea un documento ZIP malicioso y presenta al usuario un cuadro de diálogo para guardar el archivo. El archivo ZIP también está protegido por contraseña, que se muestra en el documento adjunto HTML, después de lo cual se extrae la imagen ISO para iniciar el troyano Qakbot. 

Según los expertos de Sophos, Qakbot recopila una amplia gama de información de perfil de los sistemas infectados, incluida información sobre todas las cuentas de usuario configuradas, permisos, software instalado, servicios en ejecución, etc.