Une nouvelle attaque utilise une image invisible pour cacher du code Javascript dans les e-mails. La technique permet de rediriger la victime vers un site compromis sans être détecté par les logiciels de sécurité de l’ordinateur.
Attention aux pièces jointes de vos e-mails. Avanan, spécialiste de la sécurité des e-mails, vient de découvrir une nouvelle cyberattaque par courriel qui parvient à contourner les filtres et les logiciels antivirus grâce à l’utilisation d’une image vide.
L’e-mail se fait passer pour un message envoyé par DocuSign, un service qui permet de signer électroniquement les documents, et très utilisé par les entreprises. Le contenu du message semble légitime, et même le bouton pour accéder au document renvoie bien vers le site de DocuSign. L’attaque se trouve dans une pièce jointe au format .htm (HTML).
Une image vectorielle qui contient du Javascript
Le fichier HTML contient quelques lignes de code, dont une image au format vectioriel SVG qui n’est pas dans un fichier séparé. Son contenu est directement inclus dans le code HTML et encodé en base 64 afin de contourner les filtres et l’antivirus. Une fois décodée, l’image contient du Javascript qui redirige le navigateur de la victime vers une autre page, utilisée pour infecter l’ordinateur avec un malware ou mener une attaque de type phishing.
L’utilisateur ne risque donc rien s’il clique sur le lien dans le message. L’attaque dépend entièrement sur la curiosité de la victime afin qu’elle ouvre la pièce jointe. Selon Avanan, même VirusTotal, qui effectue des analyses en combinant plus de 70 produits antivirus, ne détecte pas le code malveillant. L’entreprise de cybersécurité conseille à tous les utilisateurs de se méfier des pièces jointes au format HTML, et recommande tout simplement aux administrateurs de bloquer ce genre de pièce jointe au même titre que les fichiers exécutables.