חוקרי אבטחת סייבר הבחינו בטכניקה חדשנית המנוצלת על ידי האקרים במתקפות דיוג על מנת לעקוף מסנני אבטחה מסורתיים – הפעם באמצעות תמונות ריקות. הטכניקה החדשה אובחנה באימייל שזוהה על ידי חברת צ'ק פוינט והגיע כהודעת DocuSign לגיטימית למראה. למרות שהקישור בגוף האימייל יעביר את המשתמש ישירות לעמוד DocuSign רגיל, קובץ ה- HTML המצורף בתחתית היה חשוד יותר כיוון שהכיל תמונת SVG מקודדת ב- Base64: ביסודה זו תמונה ריקה עם תוכן פעיל בתוכה. למעשה, יש JavaScript בתוך התמונה המפנה אוטומטית לכתובת URL זדונית. עולה כי ההאקרים מצליחים להסתיר את כתובת האתר הזדונית בתוך תמונה ריקה כדי לעקוף שירותי סריקת נוזקות מסורתיים.
הנוזקה מצליחה לעקוף את VirusTotal ואפילו לא נסרקת. על ידי שכבות ערפול, רוב שירותי אבטחת הסייבר חסרי אונים מפני סוג מתקפה זה. ניתן לראות זאת כווריאציה על מתקפת MetaMorph קודמת שבה משתמשים האקרים במתקפות דיוג ב- meta refresh כדי להפנות את המשתמש מקובץ HTML מצורף המתארח באופן מקומי, לעמוד דיוג באינטרנט. meta refresh הינו פונקציונליות המורה לדפדפן אינטרנט לרענן אוטומטית את דף האינטרנט הנוכחי לאחר מרווח זמן נתון.
כדי להפחית את האיום, מתבקשים מנהלי אבטחת סייבר לחשוד או לחסום באופן מוחלט קבצי HTML או HTM בכל הודעות הדוא"ל נכנסות ולהתייחס אליהם כמו אל קבצי הפעלה.
