El ataque comienza con un correo electrónico que aparentemente ha sido enviado por DocuSign, que contiene un enlace yun archivo adjunto HTML. El correo solicita la revisión y firma de un documento al que se refiere como «aviso de pago». Si el destinatario hace clic en el botón «Ver documento completo», se dirige a una página web legítima, pero el archivo adjunto no lo es. Si el archivo es abierto, comienza el ataque. El archivo adjunto incluye una imagen con extensión SVG codificada con Base64 que contiene código Javascript que redirige al enlace malicioso.
Los ciberdelincuentes utilizan esta técnica para ocultar su verdadera intención ya que contiene un enlace legítimo, lo que permite que el correo eluda el análisis de enlaces y los escáneres de seguridad. Los expertos recomiendan tener precaución con los correos electrónicos que contienen HTML y sugieren bloquear todos los archivos adjuntos HTML, tratándolos como ejecutables.
Según Avanan, la novedad de este ataque es el uso de una imagen vacía con contenido activo en su interior, es decir una imagen javascript, que redirige a una URL maliciosa. Es importante señalar que este tipo de ataque es único y hasta el momento no ha sido detectado por los servicios especializados como VirusTotal.