SVG画像を悪用したHTMLスマグリング攻撃が発見される
Cisco Talos Intelligence Groupは12月13日(米国時間)、「HTML smugglers turn to SVG images」において、スケーラブル・ベクター・グラフィックス(SVG: Scalable Vector Graphics)画像を悪用した比較的新しいHTMLスマグリング手法が攻撃者に使われていると伝えた。HTMLスクリプトタグを含むSVG画像をエンコードしたHTML添付のフィッシングメールを発見したと報告されている。
HTMLスマグリングはHTTPリクエストでリモートサーバからマルウェアを取得するのではなく、HTMLとJavaScriptの正当な機能を悪用して、添付ファイルに含まれるエンコードされた悪質なコードを実行し、被害者のマシン上でペイロードを組み立てる攻撃手法とされている。
SVG画像はJPEGなどのピクセルベースのラスター画像とは異なり、ベクターベースであるため画質を犠牲にすることなくサイズを大きくすることができる。またXMLで構成されているため、通常のXMLマークアップタグを使用してHTML内に配置することが可能とされている。SVG画像内にスクリプトタグを含めることはSVGの正当な機能とされており、今回のケースではJavaScriptを被害者のコンピュータに秘密裏に持ち込むために悪用されていることが明らかとなった。
発見されたキャンペーンでは、SVG画像内に密封されたJavaScriptに悪意のあるZIPアーカイブが含まれており、エンドユーザーのデバイス上でJavaScriptによって直接マルウェアが構築されることが判明している。ネットワーク経由で送信されないため、このHTMLスマグリング技術は転送中の悪質なコンテンツをフィルタリングするように設計されたセキュリティによる検出を回避することができる。
また、「Qakbot」と呼ばれているマルウェアが悪質なフィッシングメールに隠れて配布されていたことが確認された。Qakbotは別名「QBot」とも呼ばれ、被害者の電子メールを乗っ取るメールスレッドハイジャッカーとして知られている。近年、ランサムウェアグループが利用するなど、サイバー攻撃の足がかりとなる資格情報を収集するためのツールとして使われている。
HTMLスマグリングはHTTPリクエストでリモートサーバからマルウェアを取得するのではなく、HTMLとJavaScriptの正当な機能を悪用して、添付ファイルに含まれるエンコードされた悪質なコードを実行し、被害者のマシン上でペイロードを組み立てる攻撃手法とされている。
SVG画像はJPEGなどのピクセルベースのラスター画像とは異なり、ベクターベースであるため画質を犠牲にすることなくサイズを大きくすることができる。またXMLで構成されているため、通常のXMLマークアップタグを使用してHTML内に配置することが可能とされている。SVG画像内にスクリプトタグを含めることはSVGの正当な機能とされており、今回のケースではJavaScriptを被害者のコンピュータに秘密裏に持ち込むために悪用されていることが明らかとなった。
発見されたキャンペーンでは、SVG画像内に密封されたJavaScriptに悪意のあるZIPアーカイブが含まれており、エンドユーザーのデバイス上でJavaScriptによって直接マルウェアが構築されることが判明している。ネットワーク経由で送信されないため、このHTMLスマグリング技術は転送中の悪質なコンテンツをフィルタリングするように設計されたセキュリティによる検出を回避することができる。
また、「Qakbot」と呼ばれているマルウェアが悪質なフィッシングメールに隠れて配布されていたことが確認された。Qakbotは別名「QBot」とも呼ばれ、被害者の電子メールを乗っ取るメールスレッドハイジャッカーとして知られている。近年、ランサムウェアグループが利用するなど、サイバー攻撃の足がかりとなる資格情報を収集するためのツールとして使われている。
