Ang mga mananaliksik ng seguridad ay sinusubaybayan ang isang kilalang pagtaas sa mga kampanya ng phishing na matalino na nag-armas ng mga scalable vector graphics (SVG) na mga file ng imahe upang maihatid ang mga nakakahamak na payload at magnakaw ng mga kredensyal. target=”_ blangko”> kaspersky , sophos , na nagpapahiwatig ng isang dramatikong pagtaas sa mga pag-atake na ito ay nagsisimula sa huli 2024 at nagpapabilis sa pamamagitan ng unang quarter ng 2025. Ang kalakaran na ito ay nagtatampok ng isang taktikal na pagbabagong-anyo ng mga umaatake na naglalayong bigyang tradisyunal na mga pagsukat ng seguridad.
Kaspersky nag-iisa ang nakakita ng higit sa 2,825 mga email gamit ang pamamaraang ito sa pagitan ng Enero at Marso 2025, na may lakas na patuloy na umakyat sa Abril. Ang mga independiyenteng natuklasan ay nagpapatunay nito; Nakita ng Knowbe4 ang isang 245% na tumalon sa malisyosong paggamit ng SVG sa pagitan ng Q4 2024 at unang bahagi ng Marso 2025, habang iniulat ng Trustwave ang isang 1800% na pagsulong sa unang bahagi ng 2025 kumpara sa mga nakaraang antas.
Paano Naging Mga Armas ang Mga File ng SVG
Hindi tulad ng mga standard na format ng imahe ng raster tulad ng JPEG o PNG na pangunahing nag-iimbak ng data ng pixel, ang mga SVG ay mga dokumento na nakabase sa XML. Ang istrukturang batay sa teksto na ito, na idinisenyo para sa pagtukoy ng mga hugis at landas ng vector, pinapayagan ang mga ito na maglaman ng mga naka-embed na script at iba pang nilalaman, kabilang ang mga dokumento ng JavaScript at buong HTML (madalas na ipinatupad gamit ang
Mga taktika sa pag-iwas at imprastraktura ng pag-atake Dahil ang uri ng teknikal na mime ng file ay ang imahe/SVG+XML, maaari itong i-bypass ang mga gateway ng email at mga filter ng seguridad lalo na na-configure upang masuri ang mas tradisyonal na mapanganib na mga uri ng kalakip tulad ng mga executive o ilang mga format ng dokumento.
Ang mga svgs ay madalas na hindi napapansin Sa pamamagitan ng mga nasabing filter, na nag-post ng isang hamon sa maginoo na mga depensa. Ang mga umaatake ay higit na mapahusay ang pag-iwas gamit ang mga pamamaraan tulad ng polymorphic (randomized) na mga filenames at pagpapadala ng mga email mula sa dati nang nakompromiso na mga lehitimong account upang maipasa ang mga tseke ng pagpapatunay ng nagpadala tulad ng DMARC, SPF, at DKIM (mga pamantayan na idinisenyo upang maiwasan ang spoofing ng email). Ang mga pamamaraan ng obfuscation tulad ng base64 encoding Para sa mga naka-embed na script (isang paraan upang kumatawan ng binary data sa isang format na string ng ascii) at dinamikong pagkuha ng mga elemento tulad ng mga logo ng kumpanya upang mapahusay ang phish ng pagiging aktibo ng Phish ay din na gumamit.
Ang pagsulong sa SVG phishing ay naka-link din sa paglaganap ng mga platform ng phishing-as-a-service (PHAAS) na dalubhasa sa mga pag-atake ng AITM. Ang mga platform na ito ay nag-aalok ng mga handa na kit na nagpapasimple sa proseso ng paglulunsad ng mga sopistikadong kampanya sa phishing. Target=”_ blangko”> Nag-uugnay ang Trustwave SpiderLabs Ang pagtaas ng mga kit tulad ng Tycoon2fa, Mamba2fa, at Sneaky2fa, na nagbibigay ng mga umaatake sa mga tool upang ma-deploy ang mga sopistikadong kampanya, kasama ang paggamit ng mga attachment ng SVG para sa paunang pag-redirect. Ang madaling magagamit na imprastraktura ay nagpapababa sa hadlang sa pagpasok para sa pagsasagawa ng kumplikadong operasyon sa phishing. Ang pagtatasa mula sa NetSkePE tungkol sa 2024 ay nagpakita na ang mga gumagamit ng negosyo ay naging tatlong beses na mas malamang na mag-click sa mga link sa phishing kumpara sa 2023, ang paglukso mula sa 2.9 hanggang 8.4 na pag-click sa bawat 1,000 mga gumagamit bawat buwan. baits.”Itinampok din ng ulat ang paggamit ng mga tool na Generative AI tulad ng Wormgpt at Fraudgpt ng mga umaatake upang lumikha ng mas nakakumbinsi na mga pang-akit. cisco talos na na-dokumentado Qakbot malware campaign sa 2022 gamit ang mga svgs na naka-embed sa loob ng html attachment para sa payload smuggling sa pamamagitan ng isang pamamaraan na kilala bilang html smuggling. Ang
Ang kasalukuyang alon, gayunpaman, ay nakatuon nang direkta sa kredensyal na pagnanakaw, na madalas na target ang mga sikat na serbisyo sa ulap. Ang Microsoft 365 ay ang nangungunang target sa 2024 data (42%) Maaari ring magamit ang nilalaman sa mas sopistikadong mga target na pag-atake.”Ang pag-abuso sa mga pinagkakatiwalaang platform tulad ng CloudFlare para sa pagho-host ng imprastraktura ng phishing, tulad ng iniulat na dati batay sa mga natuklasan sa FORTRA, ay nananatiling isang kaugnay na pag-aalala. Nabanggit ni Zachary Travis ng Fortra,”Ang mga platform na ito ay hindi lamang ginagamit upang mag-host ng nakakumbinsi na mga site ng phishing, ngunit nag-redirect din sa iba pang mga nakakahamak na site.”