Операторы QBot используют SVG-файлы для установки вредоноса в Windows

Операторы QBot используют SVG-файлы для установки вредоноса в Windows

Операторы QBot используют SVG-файлы для установки вредоноса в Windows

Операторы QBot придумали новый способ доставки вредоноса в системы Windows: в новой фишинговой кампании злоумышленники используют файлы в формате SVG для реализации техники HTML smuggling («контрабанда HTML»).

Атака запускается с помощью встроенных SVG-файлов, содержащих JavaScript. Этот скрипт собирает зашифрованный Base64 инсталлятор вредоноса QBot, который автоматически скачивается в систему в браузере пользователя.

Как известно, QBot может загружать другие пейлоады, включая Cobalt StrikeBrute Ratel и ряд программ-вымогателей.

HTML smuggling используется для незаметной вставки зашифрованного JavaScript-пейлоада в HTML-вложение или веб-сайт. При открытии такого документа или страницы JavaScript выполнится на компьютере пользователя.

Эта техника позволяет киберпреступникам обходить защитные системы и файрволы, которые сканируют системы и выявляют вредоносные программы.

О новом подходе операторов QBot рассказали эксперты Cisco Talos. Атаки начинаются с того, что злоумышленники вклиниваются в цепочку электронных писем и просят получателя открыть вложенный HTML-файл.

Как уже отмечалось выше, злоумышленники прячут вредоносную нагрузку в графическом файле SVG.

 

Поскольку векторная графика SVG основана на XML (в отличие от JPG и PNG), она допускает встраивание HTML-тегов <script>. Исследователи из Cisco изучили встроенный JavaScript и нашли функцию, конвертирующую переменную «text» в блоб. А далее в дело вступает другая функция, которая конвертирует блоб в ZIP-архив.

 

Чтобы защититься от подобных атак, рекомендуется заблокировать выполнение JavaScript или VBScript для загружаемого из Сети контента.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Ubuntu откажется от классического sudo в пользу новой версии на Rust

Canonical объявила, что в следующем релизе Ubuntu 25.10 Questing Quokka по умолчанию появится новый инструмент для повышения привилегий — sudo-rs, переписанный на языке Rust. Таким образом, привычное sudo, написанное на C, постепенно уйдёт в прошлое. Полный переход планируют завершить в версии Ubuntu 26.04 LTS.

Выход Ubuntu 25.10 запланирован на 9 октября 2025 года. Кодовое имя — Questing Quokka: «Questing» символизирует поиск и исследование, а «Quokka» — австралийское сумчатое животное, находящееся под угрозой исчезновения.

Почему Rust? Разработчики делают ставку на безопасность и производительность.

Новый sudo-rs избавлен от уязвимостей, связанных с управлением памятью в C, и уже поддерживает важные функции: опцию NOEXEC (запрещает запускать дочерние процессы от привилегированных программ) и интеграцию с профилями AppArmor для более строгого контроля процессов.

При этом sudo-rs сохраняет совместимость и со старыми версиями ядра Linux (включая 5.9 и ниже), так что использовать его можно в самых разных окружениях. В ближайших планах команды — довести функциональность до полного соответствия классическому sudo.

Ubuntu 26.04 LTS также будет работать только с sudo-rs, хотя пользователи тестовых сборок пока могут откатиться к старому sudo при необходимости.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru