Kampanye phishing malware QBot telah mengadopsi metode distribusi baru menggunakan file SVG untuk melakukan penyelundupan HTML yang secara lokal membuat penginstal berbahaya untuk Windows.
Serangan ini dilakukan melalui file SVG tersemat yang berisi JavaScript yang memasang kembali penginstal malware QBot berkode Base64 yang diunduh secara otomatis melalui browser target.
QBot adalah malware Windows yang datang melalui email phishing yang memuat muatan lain, termasuk Cobalt Strike, Brute Ratel, dan ransomware.
Penyelundupan berbasis SVG
Penyelundupan HTML adalah teknik yang digunakan untuk “menyelundupkan” muatan JavaScript yang disandikan ke dalam lampiran HTML atau situs web.
Teknik ini memungkinkan pelaku ancaman melewati alat keamanan dan firewall yang memantau file berbahaya di sekeliling.
Lampiran ini berisi teknik penyelundupan HTML yang menggunakan gambar SVG (scalable vector graphics) berenkode base64 yang disematkan di HTML untuk menyembunyikan kode berbahaya.
Tidak seperti jenis gambar raster, seperti file JPG dan PNG, SVG adalah gambar vektor berbasis XML yang dapat menyertakan tag HTML
