SVG-фишинг: вектор выполнения вредоносного кода и кражи учетных данных
Источник: www.malwarebytes.com
Недавние расследования выявили кампанию фишинга на основе SVG, которая демонстрирует, как киберпреступники адаптируют свои методы, используя привычные пользователю форматы файлов. Файлы масштабируемой векторной графики, воспринимаемые многими системами как безопасные изображения, оказались пригодны не только для визуального обмана — злоумышленники внедряют в них скрипты и интерактивные элементы, превращая SVG в полноценный вектор выполнения вредоносного кода.
Механика атак
Атака на основе SVG обычно строится по следующей схеме:
- Жертве отправляют SVG-файл как вложение или через ссылку.
- SVG содержит встроенные скрипты или элементы с перенаправлением, которые выглядят как легитимные интерактивные элементы.
- Пользователь взаимодействует с элементом (например, кликает по форме), после чего происходит редирект на поддельный сайт для сбора учетных данных.
- Автоматические заполнители форм и слабые механизмы проверки URL позволяют злоумышленникам собрать логины и пароли.
«SVG-файлы могут использоваться не только для визуального обмана, но и в качестве векторов для выполнения вредоносного кода», — констатируют исследователи.
Почему SVG так опасны
- SVG — это не просто картинка: формат поддерживает скрипты, ссылки и элементы DOM, что дает возможности для интерактивности.
- Многие почтовые и файловые фильтры по умолчанию пропускают графические форматы, считая их безопасными.
- Пользователи реже подозревают изображения, поэтому вероятность взаимодействия выше, чем с исполняемыми вложениями.
Риски для пользователей
Последствия взаимодействия с поддельным SVG могут включать кражу учетных данных, компрометацию аккаунтов и дальнейшее распространение фишинговых сообщений от имени жертвы. Особенно уязвимы те, кто использует автозаполнение паролей без контроля домена целевого сайта.
Практические рекомендации
Чтобы снизить риск, экспертами рекомендуется следующее:
- Не открывайте подозрительные вложения электронной почты, даже если они выглядят как обычные изображения, пока вы не подтвердите отправителя.
- Проверяйте URL перед вводом конфиденциальной информации — злоумышленники часто подделывают домены и ссылки.
- Используйте Password Managers, которые предотвращают автоматическое заполнение учетных данных на мошеннических доменах.
- Разверните real-time решения защиты от вредоносного ПО с компонентами веб-защиты для обнаружения и блокирования злонамеренных ресурсов.
- Внедряйте фильтрацию и мониторинг трафика, чтобы оперативно выявлять подозрительную активность и снижать вероятность успешной фишинговой атаки.
Рекомендации для организаций
Организациям следует усилить почтовую безопасность и процедуры работы с вложениями:
- Настроить правила, которые обнаруживают аномальные/необычные вложения и помещают их в карантин.
- Проводить обучение персонала по распознаванию фишинга и безопасной работе с вложениями.
- Внедрять многофакторную аутентификацию и политики минимизации прав доступа.
- Использовать трансляцию и анализ подозрительных писем в безопасной среде (sandbox) перед доставкой пользователям.
Вывод
Кампания фишинга на основе SVG — напоминание о том, что угрозы постоянно эволюционируют, и привычные форматы файлов могут неожиданно стать инструментом атак. Бдительность пользователей и упреждающие меры безопасности — от применения Password Managers до современных средств обнаружения и карантина вложений — остаются ключевыми факторами защиты от подобных схем.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
