Cercetătorii de securitate urmăresc o creștere notabilă a campaniilor de phishing care să-i armi în mod inteligent pe fișierele de imagini scalabile Vector Graphics (SVG) pentru a oferi sarcini utile rău intenționate și a fura acreditări.
un consens se formează în rândul firmelor de securitate, inclusiv Kaspersky , Bristwave și
Kaspersky singur a detectat peste 2.825 de e-mailuri folosind această metodă între ianuarie și martie 2025, volumul continuând să urce în aprilie. Descoperirile independente coroborează acest lucru; KnowBe4 saw a 245% jump in malicious SVG use between Q4 2024 and early March 2025, while Trustwave reported an 1800% surge in early 2025 compared to previous levels.
Cum se face fișierele SVG arme
Eficacitatea tehnicii se bazează pe natura fundamentală a fișierelor SVG. Spre deosebire de formatele de imagine raster standard, cum ar fi JPEG sau PNG, care stochează în principal datele pixelilor, SVG-urile sunt documente bazate pe XML. Această structură bazată pe text, concepută pentru definirea formelor și căilor vectoriale, le permite în mod crucial să conțină scripturi încorporate și alte conținuturi, inclusiv documente JavaScript și HTML complete (adesea implementate folosind eticheta
atacatori care creează fișiere SVG rău intenționate, deghindu-le frecvent în e-mailuri ca documente inofensive care au nevoie de semnături, notificări de mesagerie vocală sau chiar foi de calcul. Când o victimă deschide fișierul SVG atașat-gestionat de obicei de browserul web care interpretează XML și orice scripturi încorporate-se execută codul rău intenționat. SVGFilele obțin adesea rate scăzute de detectare pe platformele de scanare de securitate, ceea ce le face un vector atractiv pentru atacatori.
Metode de atac și exemple
atacatorii au demonstrat două abordări principale. În unele campanii, cum ar fi o imitație Google Voice detaliată de Kaspersky, fișierul SVG în sine conține codul HTML complet pentru o pagină de phishing, ceea ce face o interfață falsă direct în browser la deschidere. Alte atacuri, observate de Kaspersky, încorporează JavaScript în cadrul SVG.
Acest script se execută la deschiderea fișierului, redirecționând automat browserul utilizatorului către un site de phishing extern, controlat de atacator, frecvent o pagină de conectare la microsoft contrafăcută. O astfel de campanie adversă în mijloc (AITM) a fost documentată în februarie 2025, unde SVG a afișat inițial doar o imagine de control albastră înainte de redirecționarea prin solicitări de securitate falsă către o pagină de recoltare de acreditare personalizată cu brandul companiei țintă. Autentificarea multi-factor este prezentă.
Tactica de evaziune și infrastructura atacatorului
Utilizarea fișierelor SVG prezintă mai multe avantaje pentru atacatorii care doresc să se sustragă detectării. Deoarece tipul tehnic al fișierului este Image/SVG+XML, poate ocoli gateway-uri de e-mail și filtre de securitate configurate în principal pentru a examina tipuri de atașament mai riscante în mod tradițional, cum ar fi executabile sau anumite formate de documente.
SVG-urile sunt adesea trecute cu vederea de către astfel de filtre, reprezentând o provocare pentru defense convenționale. Atacatorii îmbunătățesc în continuare evaziunea folosind tehnici precum numele de fișiere polimorfe (randomizate) și trimiterea de e-mailuri din conturi legitime compromise anterior pentru a trece cecuri de autentificare a expeditorului precum DMARC, SPF și DKIM (standarde concepute pentru a preveni spoofingul prin e-mail). Metode de obusculare precum codificare base64 Pentru scripturi încorporate (o modalitate de a reprezenta date binare într-un format de coarde ASCII) și, de asemenea, să fie folosite dinamic elemente, cum ar fi logosul companiei pentru a îmbunătăți autoritatea Phish, de asemenea. Creșterea phishingului SVG este, de asemenea, legată de proliferarea platformelor phishing-as-a-service (PHAAS) specializate în atacuri AITM. Aceste platforme oferă kituri pregătite care simplifică procesul de lansare a campaniilor de phishing sofisticate.
O amenințare din ce în ce mai mare într-un mediu vulnerabil
Această tehnică SVG reprezintă cea mai recentă adaptare în lupta în curs de desfășurare între atacatori și apărători, ajungând în mijlocul unui mediu de phishing în general, în general. Analiza de la Netskope aproximativ 2024 a arătat că utilizatorii întreprinderii au devenit de trei ori mai mari să facă clic pe link-uri de phishing comparativ cu 2023, sărind de la 2,9 la 8,4 clicuri la 1.000 de utilizatori în fiecare lună. momeli.”Raportul a subliniat, de asemenea, utilizarea instrumentelor AI generative precum WormGPT și FraudGPT de către atacatori pentru a crea năluci mai convingătoare.
În timp ce phishingul SVG este o tendință relativ nouă în ceea ce privește utilizarea pe scară largă, exploatarea capacităților de script SVG nu este complet inedită; Cisco talos documentat QAKBOT Campanii malware din 2022 folosind SVG-uri încorporate în cadrul atașamentelor HTML pentru smomblarea de plată prin intermediul unei tehnologii cunoscute ca html.
Cu toate acestea, unda actuală se concentrează direct pe furtul de acreditare, vizând adesea servicii cloud populare. Microsoft 365 a fost cea mai bună țintă din datele din 2024 ale Netskope (42%), urmată de Adobe Document Cloud (18%) și Docusign (15%), care se aliniază cu tipurile de pagini de conectare false observate în campaniile recente SVG.
cercetătorii Kaspersky, observate în recentele campanii SVG. Conținutul rău intenționat poate fi folosit și în atacuri mai sofisticate vizate.”Abuzul de platforme de încredere, cum ar fi Cloudflare, pentru găzduirea infrastructurii de phishing, așa cum s-a raportat anterior pe baza constatărilor Fortra, rămâne, de asemenea, o preocupare conexă. Zachary Travis din Fortra a menționat: „Aceste platforme nu sunt folosite doar pentru a găzdui site-uri de phishing convingătoare, ci și redirecționează către alte site-uri rău intenționate.”
