A biztonsági kutatók nyomon követik az adathalász kampányok jelentős növekedését, amelyek okosan fegyveressé teszik a skálázható vektor grafikákat (SVG) képfájlokat, hogy rosszindulatú hasznos teherbírást és lopott hitelesítő adatokat lopjanak. Target=”_ üres”> kaspersky , megbízhatóWave és , és . href=”https://news.sophos.com/en-us/2025/02/05/svg-phishing/”Target=”_ üres”> sophos , jelezve a 2024 végén kezdődő támadások drámai emelkedését, és a 2025 első negyedévében felgyorsul. Egyedül több mint 2825 e-mailt észleltek ezt a módszert felhasználva 2025 január és március között, a kötet továbbra is áprilisra mászik. Független megállapítások ezt megerősítik; A Knowbe4 245%-os ugrást látott a rosszindulatú SVG-ben a 2024 negyedik negyedév és a 2025. március eleje eleje között, míg a Trustwave 1800%-os növekedést jelentett 2025 elején. src=”https://winbuzzer.com/wp-content/uploads/2024/11/cybersecurity-cybertacks-cyberattacks-hackers.webp”>
Hogyan válnak az SVG fájlok A szokásos raszteres képformátumokkal, például a JPEG vagy a PNG-vel ellentétben, amelyek elsősorban a pixel adatait tárolják, az SVG-k XML-alapú dokumentumok. Ez a szöveges alapú struktúra, amelyet a vektor alakjainak és útvonalainak meghatározására terveztek, alapvető fontosságú lehetővé teszi számukra a beágyazott szkriptek és egyéb tartalmak, beleértve a JavaScript és a teljes HTML dokumentumokat (gyakran a címke segítségével). Ezt a legitim webdesign és interaktivitásra szánt képességet aktívan visszaélnek. Amikor az áldozat kinyitja a mellékelt SVG fájlt-általában a böngésző által kezelt webböngésző, amely értelmezi az XML-t és a beágyazott szkripteket-a rosszindulatú kód végrehajtja. Az SVGFiles gyakran alacsony észlelési arányt érnek el a biztonsági szkennelési platformokon, így vonzó vektorgá teszik őket a támadók számára. Egyes kampányokban, mint például a Kaspersky által részletezett Google hang után, az SVG fájl maga tartalmazza az adathalász oldal teljes HTML-kódját, amely hamis felületet jelenít meg közvetlenül a böngészőben, amikor megnyitja. Más támadások, amelyeket Kaspersky figyelt meg, beágyazza a JavaScript-t az SVG-be. Az egyik ilyen ellenfelet a középső (AITM) kampányt 2025 februárjában dokumentálták, ahol az SVG kezdetben csak egy kék pipa képet mutatott be, mielőtt hamis biztonsági utasításokon keresztül átirányította a hitelesítő adatok betakarítási oldalát, amely személyre szabott a célvállalat márkanevével. A hitelesítés jelen van. Mivel a fájl műszaki MIME típusa Image/SVG+XML, megkerülheti az e-mail átjárókat és a biztonsági szűrőket, amelyek elsősorban a hagyományosan kockázatos mellékletek, például a végrehajtható vagy bizonyos dokumentumformátumok, a
Az SVG-ket gyakran figyelmen kívül hagyják Az ilyen szűrők által, és a hagyományos védekezés számára kihívást jelent. A támadók tovább javítják az adócsalást olyan technikákkal, mint a polimorf (randomizált) fájlnevek, és e-maileket küldenek a korábban veszélyeztetett legitim fiókokból, hogy átadják a küldő hitelesítési ellenőrzéseket, mint például a DMARC, az SPF és a DKIM (az e-mail hamisítás megakadályozására szolgáló szabványok). Obfuscation módszerek, mint a base64 kódolás A beágyazott szkriptekhez (a bináris adatok ábrázolása egy ASCII-formátumban is), és dinamikusan megfogalmazott elemek, mint a társaságok, a Phish-hitelesség is. Az SVG-adathalászat növekedése szintén kapcsolódik az Aitm támadásokra szakosodott adathalászként történő áthaladási platformok elterjedésével is. Ezek a platformok kész készleteket kínálnak, amelyek egyszerűsítik a kifinomult adathalász kampányok elindításának folyamatát. A SpiderLabs összeköti A készletekhez, mint például a Tycoon2fa, a Mamba2fa és a Sneaky2fa, akkor a támadók számára eszközöket biztosítanak ezeknek a kifinomult kampányoknak a telepítéséhez, ideértve az SVG-mellékletek használatát a kezdeti átirányításhoz. Ez a könnyen elérhető infrastruktúra csökkenti a belépés akadályát a komplex adathalász műveletek elvégzéséhez. A Netskope 2024-es elemzése azt mutatta, hogy a vállalati felhasználók háromszor nagyobb valószínűséggel kattintanak az adathalász linkekre, szemben a 2023-hoz, és havonta 1000 felhasználó 2,9-ről 8,4 kattintással ugrott. csali.”A jelentés kiemelte a támadók által a WormGPT és a FaudGPT, például a WormGPT és a FaudGPT használatát is, hogy meggyőzőbb csaliket hozzanak létre. cisco talos dokumentálva Qakbot malware kampányok 2022-ben az SVGS-be beágyazott SVGS-be beágyazva. Az aktuális hullám azonban közvetlenül a hitelesítő adatok lopására összpontosít, gyakran a népszerű felhőszolgáltatások célzására. A Microsoft 365 volt a legfontosabb cél a Netskope 2024-es adatainak (42%), majd az Adobe Document Cloud (18%) és a DocUsign (15%) követi, igazítva a hamis bejelentkezési oldalak típusait, amelyeket a legutóbbi SVG kampányokban láttak. A rosszindulatú tartalom kifinomultabb célzott támadásokban is alkalmazható.”A megbízható platformok, mint például a Cloudflare visszaélése az adathalász infrastruktúra tárolására, amint azt korábban a FORTRA megállapításai alapján jelentették, szintén kapcsolódó aggodalomra ad okot. Zachary Travis, a Fortra, megjegyezte: „Ezeket a platformokat nemcsak meggyőző adathalász helyek tárolására használják, hanem más rosszindulatú helyekre is átirányítják.”
Az SVG-ket gyakran figyelmen kívül hagyják Az ilyen szűrők által, és a hagyományos védekezés számára kihívást jelent. A támadók tovább javítják az adócsalást olyan technikákkal, mint a polimorf (randomizált) fájlnevek, és e-maileket küldenek a korábban veszélyeztetett legitim fiókokból, hogy átadják a küldő hitelesítési ellenőrzéseket, mint például a DMARC, az SPF és a DKIM (az e-mail hamisítás megakadályozására szolgáló szabványok). Obfuscation módszerek, mint a base64 kódolás A beágyazott szkriptekhez (a bináris adatok ábrázolása egy ASCII-formátumban is), és dinamikusan megfogalmazott elemek, mint a társaságok, a Phish-hitelesség is. Az SVG-adathalászat növekedése szintén kapcsolódik az Aitm támadásokra szakosodott adathalászként történő áthaladási platformok elterjedésével is. Ezek a platformok kész készleteket kínálnak, amelyek egyszerűsítik a kifinomult adathalász kampányok elindításának folyamatát. A SpiderLabs összeköti A készletekhez, mint például a Tycoon2fa, a Mamba2fa és a Sneaky2fa, akkor a támadók számára eszközöket biztosítanak ezeknek a kifinomult kampányoknak a telepítéséhez, ideértve az SVG-mellékletek használatát a kezdeti átirányításhoz. Ez a könnyen elérhető infrastruktúra csökkenti a belépés akadályát a komplex adathalász műveletek elvégzéséhez. A Netskope 2024-es elemzése azt mutatta, hogy a vállalati felhasználók háromszor nagyobb valószínűséggel kattintanak az adathalász linkekre, szemben a 2023-hoz, és havonta 1000 felhasználó 2,9-ről 8,4 kattintással ugrott. csali.”A jelentés kiemelte a támadók által a WormGPT és a FaudGPT, például a WormGPT és a FaudGPT használatát is, hogy meggyőzőbb csaliket hozzanak létre. cisco talos dokumentálva Qakbot malware kampányok 2022-ben az SVGS-be beágyazott SVGS-be beágyazva. Az aktuális hullám azonban közvetlenül a hitelesítő adatok lopására összpontosít, gyakran a népszerű felhőszolgáltatások célzására. A Microsoft 365 volt a legfontosabb cél a Netskope 2024-es adatainak (42%), majd az Adobe Document Cloud (18%) és a DocUsign (15%) követi, igazítva a hamis bejelentkezési oldalak típusait, amelyeket a legutóbbi SVG kampányokban láttak. A rosszindulatú tartalom kifinomultabb célzott támadásokban is alkalmazható.”A megbízható platformok, mint például a Cloudflare visszaélése az adathalász infrastruktúra tárolására, amint azt korábban a FORTRA megállapításai alapján jelentették, szintén kapcsolódó aggodalomra ad okot. Zachary Travis, a Fortra, megjegyezte: „Ezeket a platformokat nemcsak meggyőző adathalász helyek tárolására használják, hanem más rosszindulatú helyekre is átirányítják.”