Атака начинается после попадания SVG-файлов на ПК через JavaScript.
Троянские операторы QBot научились распространять свои вирусы через файлы в формате SVG для реализации техники HTML smuggling, сообщает anti-malware.ru со ссылкой на экспертов компании Cisco Talos. Эта техника пока не улавливается файрволлами и антивирусными программами.
Атака начинается через SVG-файлы, имеющие внутри JavaScript. Он собирает зашифрованный Base64 инсталлятор вредоноса QBot, затем автоматически скачиваясь в браузер пользователя.
QBot также получается загружать и другие пейлоады, вроде Cobalt Strike, Brute Ratel и иные программы-вымогатели.
Для защиты от нового трояна рекомендуется включить блокировку выполнения JavaScript или VBScript для скачиваемого из интернета контента.