Säkerhetsforskare spårar en anmärkningsvärd ökning av phishing-kampanjer som på ett smart sätt vapnar skalbar vektorgrafik (SVG) bildfiler för att leverera skadliga nyttolaster och stjäla referenser.
a konsensus bildar mellan säkerhetsföretag, inklusive kaspersky , Sophos, indicating a dramatic rise in these attacks starting late 2024 and accelerating through the first quarter of 2025. This trend highlights a tactical shift by attackers aiming to circumvent traditional email security measures.
Kaspersky ensam upptäckte över 2 825 e-postmeddelanden med denna metod mellan januari och mars 2025, med volymen som fortsatte att klättra in i april. Oberoende resultat bekräftar detta; KnowBe4 såg ett 245% hopp i skadlig SVG-användning mellan Q4 2024 och början av mars 2025, medan Trustwave rapporterade en översvämning på 1800% i början av 2025 jämfört med tidigare nivåer.
SVG: er förbises ofta genom sådana filter, utgör en utmaning till konventionella försvar. Angripare förbättrar vidare undvikande med tekniker som polymorfa (randomiserade) filnamn och skickar e-postmeddelanden från tidigare komprometterade legitima konton för att passera avsändarsautentiseringskontroller som DMARC, SPF och DKIM (standarder som är utformade för att förhindra e-postpoofing). Obfuscation-metoder som Base64-kodning För inbäddade skript (ett sätt att representera binära data i en ASCII-strängformat) och dynamiskt fetching element som Company To I förbättringar som är anordna.
Överspänningen i SVG-phishing är också kopplad till spridningen av phishing-as-a-service (PHAAS) plattformar som specialiserat sig på AITM-attacker. Dessa plattformar erbjuder färdiga satser som förenklar processen för att lansera sofistikerade phishing-kampanjer.
cisco talos dokumenterade qakbot malware-kampanjer 2022 med svgs inbäddade inom html anslöt
Den nuvarande vågen fokuserar emellertid direkt på referensstöld, ofta riktar sig till populära molntjänster. Microsoft 365 var det bästa målet i Netskopes 2024-data (42%), följt av Adobe Document Cloud (18%) och DocuSign (15%), anpassning till de typer av falska inloggningssidor som ses i nyligen SVG-kampanjer. Innehåll kan också användas i mer sofistikerade riktade attacker.”Missbruk av pålitliga plattformar som CloudFlare för att vara värd för phishing-infrastruktur, som tidigare rapporterats baserat på Fortra-fynd, är också ett relaterat problem. Zachary Travis från Fortra noterade,”Dessa plattformar används inte bara för att vara värd för övertygande phishing-webbplatser, utan också omdirigera till andra skadliga webbplatser.”
