セキュリティ研究者は、スケーラブルなベクターグラフィックス(SVG)画像ファイルを巧みに武器化して悪意のあるペイロードを提供し、資格情報を盗むフィッシングキャンペーンの顕著な増加を追跡しています。ターゲット=”_ blank”> kaspersky 、 sophos 。
Kasperskyだけで、2025年1月から3月にかけてこの方法を使用して2,825件以上のメールを検出し、ボリュームは4月まで上昇し続けています。独立した調査結果はこれを裏付けています。 Knowbe4は、2024年第4四半期から2025年3月上旬の間に悪意のあるSVGの使用が245%増加しましたが、Trustwaveは2025年初頭に以前のレベルと比較して1800%の急増を報告しました。 src=”https://winbuzzer.com/wp-content/uploads/2024/11/cybersecurity-cybercyberattacks-hackers.webp”>
svgファイルが武器になる方法
主にピクセルデータを保存するJPEGやPNGなどの標準のラスター画像形式とは異なり、SVGはXMLベースのドキュメントです。ベクトルの形状とパスを定義するために設計されたこのテキストベースの構造により、JavaScriptや完全なHTMLドキュメント(
攻撃者は悪意のあるSVGファイルを作成し、署名、ボイスメール通知、さらにはスプレッドシートを必要とする無害なドキュメントとして電子メール内で頻繁に偽装します。被害者が添付されたSVGファイルを開くと、通常、XMLと埋め込まれたスクリプトを解釈するWebブラウザーによって処理されますが、悪意のあるコードが実行されます。 SVGFilesは、多くの場合、セキュリティスキャンプラットフォームで低い検出率を達成し、攻撃者にとって魅力的なベクターになります。いくつかのキャンペーンでは、Kasperskyが詳述したGoogle Voiceを模倣しているように、SVGファイル自体には、フィッシングページの完全なHTMLコードが含まれており、開いたときにブラウザに偽のインターフェイスを直接レンダリングします。 Kasperskyによって観察されたその他の攻撃は、SVGにJavaScriptを埋め込みました。
このスクリプトは、ファイルが開かれたときに実行され、ユーザーのブラウザを外部の攻撃者制御のフィッシングサイトに自動的にリダイレクトします。そのような中間(AITM)キャンペーンの1つは2025年2月に文書化され、SVGは最初に青色のチェックマーク画像のみを表示した後、偽のセキュリティプロンプトを介してターゲット企業のブランドに合格した資格収穫ページにリダイレクトしました。認証が存在します。
回避戦術と攻撃者のインフラストラクチャ
SVGファイルの使用は、検出を回避しようとする攻撃者にいくつかの利点をもたらします。ファイルのテクニカルMIMEタイプはImage/SVG+XMLであるため、主に実行可能ファイルや特定のドキュメント形式など、より伝統的にリスクのある添付ファイルタイプを精査するように構成された電子メールゲートウェイとセキュリティフィルターをバイパスできます。 href=”https://votiro.com/blog/outsmarting-svg-phishing-with-votiro–technology-built-to-secure your-files/”Target=”_ blank”> SVGはしばしば見過ごされますそのようなフィルターは、従来の守備への挑戦を投げかけます。攻撃者は、多型(無作為化)ファイル名などの手法を使用して回避を強化し、以前に侵害された正当なアカウントから電子メールを送信して、DMARC、SPF、DKIMなどの送信者認証チェック(電子メールのスプーフィングを防ぐように設計された標準)を渡します。 base64エンコードなどの難読化方法(埋め込まれたスクリプト(ASCII文字列形式のバイナリデータを表す方法)など、 tycoon2fa、mamba2fa、sneaky2faなどのキットへの上昇を接続します。これにより、攻撃者は、初期リダイレクトのためにSVGアタッチメントの使用を含むこれらの洗練されたキャンペーンを展開するツールを提供します。この容易に入手可能なインフラストラクチャは、複雑なフィッシング作業を実施するための侵入の障壁を低下させます。 Netskopeからの2024年頃の分析により、エンタープライズユーザーは2023年と比較してフィッシングリンクをクリックする可能性が3倍高くなり、毎月2.9人あたり2.9から8.4クリックしてジャンプしました。餌。」レポートはまた、より説得力のあるルアーを作成するために攻撃者によるwormgptや詐欺などの生成的AIツールの使用を強調しました。 cisco talos dogumentsed qakbotマルウェアキャンペーンは2022年にhtml atthingments for html assike smugglingのhtml atthionments for smugglingのhtml atthionmentsを使用してsvgsを使用してQakbotマルウェアキャンペーンを記録しました。ただし、現在の波は、人気のあるクラウドサービスをターゲットにしていることが多い資格情報に直接焦点を当てています。 Microsoft 365は、Netskopeの2024データ(42%)のトップターゲット(42%)であり、Adobe Document Cloud(18%)とDocusign(15%)が続き、最近のSVGキャンペーンで見られる偽のログインページの種類に沿っています。より洗練された標的攻撃でも採用することができます。」 FORTRAの調査結果に基づいて以前に報告されているように、フィッシングインフラストラクチャをホストするためのCloudFlareのような信頼できるプラットフォームの乱用も関連する懸念事項です。 FortraのZachary Travisは、「これらのプラットフォームは、説得力のあるフィッシングサイトをホストするために使用されているだけでなく、他の悪意のあるサイトにもリダイレクトされています。」
。