Các nhà nghiên cứu bảo mật đang theo dõi sự gia tăng đáng chú ý trong các chiến dịch lừa đảo nhằm khéo léo hóa vũ khí hóa các tệp hình ảnh vectơ có thể mở rộng (SVG) để cung cấp tải trọng độc hại và đánh cắp thông tin xác thực. Target=”_ Blank”> Kaspersky , một mình Kaspersky đã phát hiện hơn 2.825 email bằng phương pháp này trong khoảng thời gian từ tháng 1 đến tháng 3 năm 2025, với khối lượng tiếp tục tăng lên vào tháng Tư. Những phát hiện độc lập chứng thực này; Knowbe4 đã chứng kiến sự tăng vọt 245% trong việc sử dụng SVG độc hại trong khoảng thời gian Q4 2024 đến đầu tháng 3 năm 2025, trong khi Trustwave báo cáo sự gia tăng 1800% vào đầu năm 2025 so với các cấp độ trước đó.
Cách các tệp SVG trở thành vũ khí
Kỹ thuật hiệu quả của kỹ thuật bản lề về tính chất cơ bản của các tệp SVG. Không giống như các định dạng hình ảnh raster tiêu chuẩn như JPEG hoặc PNG chủ yếu lưu trữ dữ liệu pixel, SVG là các tài liệu dựa trên XML. Cấu trúc dựa trên văn bản này, được thiết kế để xác định các hình dạng và đường dẫn vectơ, cho phép chúng chứa các tập lệnh nhúng và nội dung khác, bao gồm JavaScript và các tài liệu HTML đầy đủ (thường được triển khai bằng thẻ
SVG thường bị bỏ qua Những kẻ tấn công tăng cường hơn nữa Evasion bằng cách sử dụng các kỹ thuật như tên tệp đa hình (ngẫu nhiên) và gửi email từ các tài khoản hợp pháp bị xâm phạm trước đó để chuyển kiểm tra xác thực người gửi như DMARC, SPF và DKIM (các tiêu chuẩn được thiết kế để ngăn chặn giả mạo email). Các phương thức obfuscation như Base64 mã hóa Sự gia tăng trong lừa đảo SVG cũng được liên kết với sự phổ biến của các nền tảng lừa đảo như một dịch vụ (PHA) chuyên về các cuộc tấn công AITM. Các nền tảng này cung cấp các bộ dụng cụ làm sẵn để đơn giản hóa quá trình khởi chạy các chiến dịch lừa đảo tinh vi. Target=”_ Blank”> Spiderlabs Trustwave kết nối Sự gia tăng của các bộ dụng cụ như Tycoon2fa, Mamba2fa và Sneaky2fa, cung cấp cho những kẻ tấn công các công cụ để triển khai các chiến dịch tinh vi này, bao gồm cả việc sử dụng các tệp đính kèm SVG cho Reded Red. Cơ sở hạ tầng có sẵn này làm giảm rào cản gia nhập để tiến hành các hoạt động lừa đảo phức tạp. Phân tích từ NetSkope khoảng năm 2024 cho thấy người dùng doanh nghiệp có khả năng nhấp vào liên kết lừa đảo hơn gấp ba lần so với năm 2023, tăng từ 2,9 đến 8.4 lần nhấp vào 1.000 người dùng mỗi tháng. mồi.”Báo cáo cũng nhấn mạnh việc sử dụng các công cụ AI tổng quát như wormgpt và gian lận bởi những kẻ tấn công để tạo ra các mồi nhử thuyết phục hơn. Cisco Talos được ghi lại
Tuy nhiên, sóng hiện tại tập trung trực tiếp vào hành vi trộm cắp thông tin, thường nhắm mục tiêu các dịch vụ đám mây phổ biến. Microsoft 365 là mục tiêu hàng đầu trong dữ liệu NetSkope từ 2024 (42%), tiếp theo là Adobe Document Cloud (18%) và DocuSign (15%), phù hợp với các loại trang đăng nhập giả được thấy trong các chiến dịch SVG gần đây. Nội dung độc hại cũng có thể được sử dụng trong các cuộc tấn công mục tiêu tinh vi hơn.”Việc lạm dụng các nền tảng đáng tin cậy như Cloudflare để lưu trữ cơ sở hạ tầng lừa đảo, như đã báo cáo trước đây dựa trên các phát hiện của Fortra, cũng vẫn là một mối quan tâm liên quan. Zachary Travis của Fortra lưu ý, những nền tảng này không chỉ được sử dụng để lưu trữ các trang web lừa đảo thuyết phục, mà còn chuyển hướng đến các trang web độc hại khác.”