СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Новости
Артем
23.04.2025
#ИБ

«Лаборатория Касперского»: мошенники используют SVG-файлы для кражи логинов через почтовые рассылки

Лаборатория Касперского: мошенники используют SVG-файлы для кражи логинов через почтовые рассылки

Изображение: recraft

В начале 2025 года специалисты «Лаборатории Касперского» зафиксировали заметный всплеск фишинговых писем, распространявшихся среди частных пользователей и организаций. По оценкам аналитиков, в марте число таких атак с использованием SVG-файлов возросло почти в шесть раз по сравнению с предыдущим месяцем. С января по март по всему миру было выявлено свыше 4 тыс. подобных писем.

Формат SVG (Scalable Vector Graphics), который обычно применяется для описания векторных изображений в интернете, оказался удобным инструментом для киберпреступников. В отличие от привычных форматов изображений JPEG или PNG, SVG поддерживает внедрение JavaScript и HTML, что делает его пригодным для создания интерактивных элементов. По информации компании, злоумышленники используют это преимущество, чтобы внедрять в SVG-файлы скрипты, ведущие на поддельные сайты.

Суть фишинговой схемы сводится к следующему: пользователь получает письмо с вложением в формате SVG. При открытии файла в браузере он видит страницу с кнопкой, которая якобы запускает воспроизведение аудиофайла. Нажав на неё, пользователь попадает на фальшивый сайт, маскирующийся под сервис Google Voice. На экране отображается фиктивная звуковая дорожка, а при попытке её воспроизвести открывается окно, имитирующее форму входа в почтовый аккаунт. Введённые данные тут же оказываются в распоряжении злоумышленников.

Аналогичная схема используется и в других случаях, когда вложение представлено как некий важный документ, требующий проверки или электронной подписи. Внутри файла скрыт JavaScript-код, который при открытии активирует перенаправление на подделку под страницу авторизации Microsoft. Пользователь вводит логин и пароль, думая, что выполняет стандартную процедуру входа, в то время как данные утекают к преступникам.

Роман Деденок, представляющий «Лабораторию Касперского», объяснил, что мошенники продолжают искать новые способы маскировки вредоносных вложений. Сейчас, по его словам, используемые схемы пока не слишком сложны с технической точки зрения — файл либо напрямую содержит поддельную страницу, либо встроенный скрипт, ведущий к ней. Тем не менее, он подчеркнул, что такая технология способна в будущем эволюционировать в более изощрённые атаки, в том числе — таргетированные.

Аналитики компании обращают внимание на то, что массовое применение SVG-файлов в подобных рассылках может быть только началом. Их универсальность и поддержка скриптов создают широкий простор для манипуляций, особенно если преступники решат использовать их в сочетании с другими методами социальной инженерии.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: