SVGからのQbot

Qbotは2008年頃から観測されているバンキング型トロイの木馬です。
Qakbot、QuackBotなどの別名で認識されている方もいることでしょう。
このマルウェアは手を変え品を変え侵入してきます。
そして侵入するとシステムから銀行口座関連のデータや、キー入力、ログイン情報などを盗み取ります。
先日研究者が新しい手法で入ってくる事例を観測しました。

• 添付ファイルがメールで届く
  ある意味ここはいつもの手法です。
  これまでのスタイルのままといえます。

   

• 添付ファイルはSVG
  SVGはなんでしょう。
  SVGはScalable Vector Graphicsで画像フォーマットの1つです。
  JPEGだとかそういったよくある画像形式の場合基本的に点を使って画像を構成します。
  しかしSVGはVectorという単語を含むことから想像いただけるように線を使って画像を構成します。
  そしてSVGのファイルの構成内容はHTML形式の部分を含みます。
  つまりステガノグラフィなどの手法に依存することなく通常のSVGの形式の範囲内で当たり前のようにHTMLを含めることができるものとなっています。

   

• SVGのなかのHTMLにHTMLスマグリング
  さてHTMLを持ち込む作戦はできあがりました。
  次はそのHTMLのなかにエンコードされた悪意のあるスクリプトを埋め込んで持ち込むことにします。
  これに利用される手法がHTMLスマグリングです。

   

• マルウェアの実行ファイルのローカルでの作成
  HTMLスマグリングで持ち込まれた悪意あるスクリプトの仕事は、マルウェア実行ファイルのローカルでの作成です。
  マルウェア実行ファイルそのものを持ち込むことはしません。
  侵入先で組み立てるのです。
  これは防御側のセキュリティツールでの検出精度を低下させます。

細かく書きましたが、利用者目線で見るとこうなります。

「メールの添付のHTMLを開くと画像を含むページが表示された。」
とおもっていたら、実はその裏では手元でQbotが作成されて動作を開始していた。

通常の利用者はこの動きの後半部分には気が付きません。

自分のやり取りしているメールの返信の形式で自分のメール一覧の中にあったらどうでしょう。
深く考えずに添付ファイルを開いてしまう人も一定数いるように思います。
添付を開いて表示されたマクロ付き文書のマクロを有効化する、などの被害者の手を借りる必要がある操作はありません。
感染するために被害者が実施するのは、メールの添付ファイルを開くだけです。

emotetでメールの添付ファイルの怖さを知る人が増えたことと思いますが、こんな手法も出てきています。
怖すぎます。
私の周辺ではemotet対策でメールに添付ファイルのない生活になっています。これは不便なものです。
emotetはやがて収束するものと期待しますが、emotetだけじゃないということでしょうか。
まだ添付ファイルを解禁にできる日はすぐには来ないという感じがしてきます。

参考記事（外部リンク）：HTML smugglers turn to SVG images
blog.talosintelligence.com/html-smugglers-turn-to-svg-images/