Home Sociedad Phishers utilizan imágenes en blanco para camuflar archivos adjuntos maliciosos

Phishers utilizan imágenes en blanco para camuflar archivos adjuntos maliciosos

Investigadores de seguridad han detectado otra técnica innovadora que utilizan los actores del phishing para eludir los filtros de seguridad tradicionales: esta vez, imágenes en blanco.

El correo electrónico en cuestión fue detectado por la empresa Avanan, de Check Point, y llegó como un mensaje de DocuSign de aspecto legítimo.

Aunque el enlace en el cuerpo del correo electrónico lleva al usuario directamente a una página normal de DocuSign, el archivo HTML adjunto en la parte inferior era más sospechoso.

El archivo HTML en cuestión contenía una imagen SVG codificada con Base64.

“En el fondo, se trata de una imagen vacía con contenido activo en su interior. De hecho, hay JavaScript dentro de la imagen. Esto redirige automáticamente a la URL maliciosa”, explica Avanan.

“Esencialmente, los hackers están ocultando la URL maliciosa dentro de una imagen vacía para eludir los servicios de escaneo tradicionales”.

Al hacer clic en el enlace, el usuario accede automáticamente a un sitio malicioso.

“Se trata de una forma innovadora de ofuscar la verdadera intención del mensaje”, concluye el proveedor de seguridad.

“Elude VirusTotal y ni siquiera es analizado por la protección tradicional Click-Time. Al superponer ofuscación sobre ofuscación, la mayoría de los servicios de seguridad están indefensos ante estos ataques.”

Puede verse como una variación de un ataque “MetaMorph” anterior detectado por Avanan hace varios años, en el que los actores de phishing utilizan “meta refresh” para redirigir al usuario desde el adjunto HTML alojado localmente a una página de phishing en la Internet pública. Un meta refresh es una funcionalidad que ordena a un navegador web que actualice automáticamente la página web actual tras un intervalo de tiempo determinado.

Para mitigar la amenaza, se insta a los administradores de seguridad a que desconfíen de los archivos adjuntos HTML o .htm en cualquier mensaje de correo electrónico entrante, o directamente los bloqueen, tratándolos como si fueran ejecutables.