Peneliti keamanan melacak peningkatan yang penting dalam kampanye phishing yang secara cerdik mempersenjatai file gambar vektor grafik (SVG) yang dapat dikerjakan untuk memberikan muatan berbahaya dan mencuri kredensial.
Konsensus sedang terbentuk di antara perusahaan keamanan, termasuk Kaspersky ,
Script ini dijalankan ketika file dibuka, secara otomatis mengarahkan kembali browser pengguna ke situs phishing eksternal, yang dikendalikan oleh penyerang, sering kali merupakan halaman login Microsoft palsu. One such Adversary-in-the-Middle (AITM) campaign was documented in February 2025 where the SVG initially displayed only a blue checkmark image before redirecting through fake security prompts to a credential harvesting page personalized with the target company’s branding.
AITM techniques involve the attacker positioning themselves between the user and the legitimate service, aiming to intercept credentials or session cookies even when multi-factor Otentikasi hadir.
Penggunaan file SVG menghadirkan beberapa keuntungan bagi penyerang yang ingin menghindari deteksi. Karena tipe MIME teknis file adalah Image/SVG+XML, itu dapat memotong gateway email dan filter keamanan yang terutama dikonfigurasi untuk meneliti jenis lampiran yang lebih berisiko secara tradisional seperti executable atau format dokumen tertentu.
href=”https://votiro.com/blog/outsmartting-svg-phishing-with-votiro-technology-built-to-secure-your-files/”target=”_ blank”> SVG sering diabaikan oleh filter semacam itu, menimbulkan tantangan untuk pertahanan konvensional. Penyerang lebih lanjut meningkatkan penghindaran menggunakan teknik seperti nama file polimorfik (acak) dan mengirim email dari akun sah yang sebelumnya dikompromikan untuk lulus cek otentikasi pengirim seperti DMARC, SPF, dan DKIM (standar yang dirancang untuk mencegah spoofing email). Metode Kebingungan seperti base64 encoding Untuk skrip yang tertanam (p. Lonjakan phishing SVG juga terkait dengan proliferasi platform phishing-as-a-service (PHAAS) yang berspesialisasi dalam serangan AITM. Platform ini menawarkan kit siap pakai yang menyederhanakan proses peluncuran kampanye phishing yang canggih.
Teknik SVG ini mewakili adaptasi terbaru dalam pertempuran yang sedang berlangsung antara penyerang dan pembela, yang tiba di tengah-tengah lingkungan phishing yang umum terjadi. Analisis dari Netskope sekitar tahun 2024 menunjukkan bahwa pengguna perusahaan menjadi tiga kali lebih mungkin untuk mengklik tautan phishing dibandingkan dengan tahun 2023, melonjak dari 2,9 menjadi 8,4 klik per 1.000 pengguna setiap bulan.
Laporan Netskope yang dikaitkan dengan kerentanan ini dengan”kelelahan kognitif (dengan pengguna yang terus dibombardir dengan upaya pheping) dengan”kelelahan kognitif (dengan pengguna yang selalu dibombardir dengan upaya phehishing) dengan”kelelahan kognitif (dengan pengguna yang selalu dibombardir dengan pukur) dengan usaha phehing) dengan”adaptasi kognitif (dengan pengguna yang sedang dibombardir) dengan upaya pheping) dengan usaha phehing) umpan.”Laporan ini juga menyoroti penggunaan alat AI generatif seperti Wormgpt dan FraudGpt oleh penyerang untuk membuat umpan yang lebih meyakinkan.
Sementara phishing SVG adalah tren yang relatif baru dalam hal penggunaan luas, eksploitasi kemampuan skrip SVG bukan sepenuhnya baru; cisco talos yang didokumentasikan Kampanye Paybot Malware pada 2022 Menggunakan SVGS yang disematkan di dalam hTML.
Gelombang saat ini, bagaimanapun, berfokus langsung pada pencurian kredensial, seringkali menargetkan layanan cloud populer. Microsoft 365 adalah target teratas dalam data 2024 Netskope (42%), diikuti oleh Adobe Document Cloud (18%) dan DocuSign (15%), selaras dengan jenis halaman login palsu yang terlihat dalam kampanye SVG baru-baru ini. Seperti halnya peneliti SVG yang lebih mirip dengan forisitas yang seringkali secara fungsional. Konten berbahaya juga dapat digunakan dalam serangan yang lebih canggih.”Penyalahgunaan platform tepercaya seperti Cloudflare untuk menjadi tuan rumah infrastruktur phishing, seperti yang dilaporkan sebelumnya berdasarkan temuan Fortra, juga tetap menjadi perhatian terkait. Zachary Travis dari Fortra mencatat, “Platform ini tidak hanya digunakan untuk menjadi tuan rumah situs phishing yang meyakinkan, tetapi juga mengarahkan kembali ke situs jahat lainnya.”