Οι ερευνητές ασφαλείας παρακολουθούν μια αξιοσημείωτη αύξηση των εκστρατειών ηλεκτρονικού ψαρέματος, οι οποίες εκτοξεύουν έξυπνα αρχεία εικόνων (SVG) για να παρέχουν κακόβουλα ωφέλιμα φορτία και να κλέβουν τα διαπιστευτήρια
Target=”_ blank”> kaspersky , sophos , υποδεικνύοντας μια δραματική άνοδο σε αυτές τις επιθέσεις που ξεκινούν τα τέλη του 2024 και επιταχύνουν το πρώτο τρίμηνο του 2025. Μόνο ανιχνεύθηκε πάνω από 2.825 μηνύματα ηλεκτρονικού ταχυδρομείου χρησιμοποιώντας αυτή τη μέθοδο μεταξύ Ιανουαρίου και Μαρτίου 2025, με τον όγκο να συνεχίζει να ανεβαίνει τον Απρίλιο. Τα ανεξάρτητα ευρήματα επιβεβαιώνουν αυτό. Το KnowBe4 είδε ένα άλμα 245% σε κακόβουλη χρήση SVG μεταξύ Q4 2024 και αρχές Μαρτίου 2025, ενώ το TrustWave ανέφερε μια αύξηση 1800% στις αρχές του 2025 σε σύγκριση με τα προηγούμενα επίπεδα.
Πώς τα αρχεία SVG γίνονται όπλα
Η αποτελεσματικότητα της τεχνικής εξαρτάται από τη θεμελιώδη φύση των αρχείων SVG. Σε αντίθεση με τις τυποποιημένες μορφές εικόνας Raster όπως το JPEG ή το PNG, οι οποίες κυρίως αποθηκεύουν δεδομένα εικονοστοιχείων, τα SVG είναι έγγραφα που βασίζονται σε XML. Αυτή η δομή που βασίζεται σε κείμενο, σχεδιασμένη για τον καθορισμό διανυσματικών σχημάτων και διαδρομών, τους επιτρέπει σημαντικά να περιέχουν ενσωματωμένα σενάρια και άλλο περιεχόμενο, συμπεριλαμβανομένων των εγγράφων JavaScript και Full HTML (που συχνά εφαρμόζονται με τη χρήση της ετικέτας
Αυτό το σενάριο εκτελείται όταν ανοίγει το αρχείο, επαναπροσδιορίζοντας αυτόματα το πρόγραμμα περιήγησης του χρήστη σε έναν εξωτερικό ιστότοπο που ελέγχεται από τον εισβολέα, συχνά μια πλαστή σελίδα Microsoft. Μια τέτοια εκστρατεία αντίπαλου στο-Middle (AITM) τεκμηριώθηκε τον Φεβρουάριο του 2025, όπου το SVG αρχικά έδειξε μόνο μια μπλε εικόνα του σημείου ελέγχου πριν από την ανακατεύθυνση μέσω των ψεύτικων προτροπών ασφαλείας σε μια σελίδα διαπιστευτηρίων εξατομικευμένη με την επωνυμία της εταιρείας στόχου. Υπάρχει έλεγχος ταυτότητας πολλαπλών παραγόντων. Επειδή ο τεχνικός τύπος MIME του αρχείου είναι η εικόνα/SVG+XML, μπορεί να παρακάμψει τις πύλες ηλεκτρονικού ταχυδρομείου και τα φίλτρα ασφαλείας που διαμορφώνονται κυρίως για να ελέγχουν πιο παραδοσιακά επικίνδυνες τύπους προσκόλλησης όπως εκτελέσιμα ή ορισμένες μορφές εγγράφων. href=”https://votiro.com/blog/outsmarting-svg-phishing-with-votiro-technology-built-to-secure-your-files/”target=”_ blank”> SVGs συχνά παραβλέπονται με τέτοια φίλτρα, θέτοντας μια πρόκληση για συμβατικές άμυνες. Οι επιτιθέμενοι ενισχύουν περαιτέρω τη φοροδιαφυγή χρησιμοποιώντας τεχνικές όπως πολυμορφικά (τυχαιοποιημένα) ονόματα αρχείων και αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου από προηγουμένως συμβιβασμένους νόμιμους λογαριασμούς για να περάσουν έλεγχοι ταυτότητας αποστολέα όπως DMARC, SPF και DKIM (πρότυπα που σχεδιάστηκαν για την πρόληψη της πλαστογραφίας). Οι μέθοδοι abfuscation όπως το encoding base64 Το SVG phishing συνδέεται επίσης με τον πολλαπλασιασμό των πλατφορμών phishing-as-a-service (PHAAS) που ειδικεύονται σε επιθέσεις AITM. Αυτές οι πλατφόρμες προσφέρουν έτοιμα κιτ που απλοποιούν τη διαδικασία εκτόξευσης εκλεπτυσμένων εκστρατειών phishing. Target=”_ blank”> Το Trustwave SpiderLabs συνδέει Η άνοδος σε κιτ όπως το Tycoon2FA, το Mamba2FA και το Sneaky2FA, οι οποίοι παρέχουν στους επιτιθέμενους τα εργαλεία για την ανάπτυξη αυτών των εξελιγμένων εκστρατειών, συμπεριλαμβανομένης της χρήσης συνημμένων SVG για την αρχική ανακατεύθυνση. Αυτή η άμεσα διαθέσιμη υποδομή μειώνει το εμπόδιο στην είσοδο για τη διεξαγωγή σύνθετων εργασιών ηλεκτρονικού”ψαρέματος”. Η ανάλυση από το Netskope περίπου το 2024 έδειξε ότι οι χρήστες των επιχειρήσεων έγιναν τρεις φορές πιο πιθανό να κάνουν κλικ στο phishing links σε σύγκριση με το 2023, το άλμα από 2,9 σε 8,4 κλικ ανά 1.000 χρήστες κάθε μήνα. δολώματα.”Η έκθεση υπογράμμισε επίσης τη χρήση γενετικών εργαλείων AI όπως το WormGPT και το FRAUDGPT από τους επιτιθέμενους για να δημιουργήσουν πιο πειστικά δολάρια. cisco talos τεκμηριωμένη Το τρέχον κύμα, ωστόσο, επικεντρώνεται άμεσα στην κλοπή διαπιστευτηρίων, συχνά στοχεύοντας στις δημοφιλείς υπηρεσίες cloud. Το Microsoft 365 ήταν ο κορυφαίος στόχος στα δεδομένα του Netskope 2024 (42%), ακολουθούμενο από το Adobe Document Cloud (18%) και το DocUsign (15%), ευθυγραμμίζοντας με τους τύπους των ψεύτικων σελίδων σύνδεσης που παρατηρούνται στις πρόσφατες εκστρατείες SVG. Το κακόβουλο περιεχόμενο μπορεί επίσης να χρησιμοποιηθεί σε πιο εξελιγμένες στοχοθετημένες επιθέσεις.”Η κατάχρηση αξιόπιστων πλατφορμών όπως το CloudFlare για τη φιλοξενία υποδομής ηλεκτρονικού”ψαρέματος”, όπως αναφέρθηκε προηγουμένως με βάση τα ευρήματα της FORTRA, παραμένει επίσης σχετική ανησυχία. Ο Zachary Travis της FORTRA σημείωσε:”Αυτές οι πλατφόρμες δεν χρησιμοποιούνται μόνο για να φιλοξενήσουν πειστικές τοποθεσίες ηλεκτρονικού”ψαρέματος”, αλλά και να ανακατευθύνουν σε άλλες κακόβουλες τοποθεσίες.”
