Les chercheurs en sécurité suivent une augmentation notable des campagnes de phishing qui arment intelligemment les fichiers d’images de graphiques vectoriels évolutifs (SVG) pour fournir des charges utiles malveillantes et voler des informations d’identification.
Un consensus se forme entre les sociétés de sécurité, y compris Kaspersky , Trustwave , et
Kaspersky à lui seul a détecté plus de 2 825 e-mails en utilisant cette méthode entre janvier et mars 2025, le volume continuant de grimper en avril. Les résultats indépendants corroborent cela; Knowbe4 a vu un bond à 245% de l’utilisation de SVG malveillante entre le quatrième trimestre 2024 et début mars 2025, tandis que Trustwave a signalé une surtension de 1800% au début de 2025 par rapport aux niveaux précédents. comment les fichiers SVG deviennent des armes
L’efficacité de la technique dépend de la nature fondamentale des fichiers SVG. Contrairement aux formats d’image raster standard tels que JPEG ou PNG qui stockent principalement les données de pixels, les SVG sont des documents basés sur XML. Cette structure basée sur le texte, conçue pour définir des formes et des chemins de vecteur, leur permet de manière cruciale de contenir des scripts intégrés et d’autres contenus, y compris des documents JavaScript et HTML complets (souvent implémentés à l’aide de la balise
Les attaquants élaborent des fichiers SVG malveillants, les déguisant fréquemment dans les e-mails comme des documents inoffensifs nécessitant des signatures, des notifications vocales ou même des feuilles de calcul. Lorsqu’une victime ouvre le fichier SVG ci-joint-généralement géré par le navigateur Web qui interprète le XML et tous les scripts intégrés-le code malveillant s’exécute. Les SVGFiles atteignent souvent de faibles taux de détection sur les plates-formes de balayage de sécurité, ce qui en fait un vecteur attrayant pour les attaquants.
Méthodes d’attaque et exemples
Les attaquants ont démontré deux approches principales. Dans certaines campagnes, comme l’on imite Google Voice détaillé par Kaspersky, le fichier SVG lui-même contient le code HTML complet pour une page de phishing, rendant une fausse interface directement dans le navigateur lors de l’ouverture. D’autres attaques, observées par Kaspersky, incorporent JavaScript dans le SVG.
Ce script s’exécute lorsque le fichier est ouvert, redirigeant automatiquement le navigateur de l’utilisateur vers une page de connexion Microsoft externe, fréquemment contrôlée, fréquemment une page de connexion Microsoft contrefaite. Une telle campagne de ces adversaires dans le milieu (AITM) a été documentée en février 2025 où le SVG n’a initialement affiché qu’une image de coche bleue avant de rediriger à travers de fausses invites de sécurité vers une page de récolte des références personnalisée avec la marque cible de la société. L’authentification multi-facteurs est présente.
Les tactiques d’évasion et l’infrastructure des attaquants
L’utilisation de fichiers SVG présente plusieurs avantages pour les attaquants qui cherchent à échapper à la détection. Étant donné que le type de mime technique du fichier est l’image/SVG + XML, il peut contourner les passerelles et les filtres de sécurité des e-mails principalement pour examiner les types d’attachement plus traditionnels comme des exécutables ou certains formats de documents.
svgs sont souvent négligés par de tels filtres, posant un défi aux défenses conventionnelles. Les attaquants améliorent encore l’évasion à l’aide de techniques telles que les noms de fichiers polymorphes (randomisés) et l’envoi de courriels à partir de comptes légitimes précédemment compromis pour passer des chèques d’authentification des expéditeurs comme DMARC, SPF et DKIM (normes conçues pour empêcher l’usurpation des e-mails). Des méthodes d’obfuscation comme Base64 Encoding Pour les scripts embarqués (un moyen de représenter les données binaires dans un format de chaîne ASCII) et les éléments de récupération dynamique comme les logos de société pour améliorer l’authenticité phish. La poussée du phishing SVG est également liée à la prolifération des plates-formes de phishing en tant que service (PHAAS) spécialisées dans les attaques AITM. Ces plates-formes offrent des kits prêts à l’emploi qui simplifient le processus de lancement de campagnes de phishing sophistiquées.
cisco talos documenté Campions de logiciels malveillants Qakbot en 2022 à l’aide de SVG connues comme HTMLL.
La vague actuelle, cependant, se concentre directement sur le vol d’identification, ciblant souvent les services cloud populaires. Microsoft 365 était la cible les plus importantes dans les données de NetSkope en 2024 (42%), suivie par Adobe Document Cloud (18%) et DocuSign (15%), s’alignant sur les types de fausses pages de connexion observées dans les campagnes SVG récentes. Le contenu malveillant peut également être utilisé dans des attaques ciblées plus sophistiquées.”L’abus de plateformes de confiance comme CloudFlare pour l’hébergement de l’infrastructure de phishing, comme indiqué précédemment sur les résultats de Fortra, reste également une préoccupation connexe. Zachary Travis de Fortra a noté: «Ces plateformes sont non seulement utilisées pour héberger des sites de phishing convaincants, mais aussi rediriger vers d’autres sites malveillants.»
