SVG-файлы стали новым вектором фишинга: злоумышленники прячут вредоносный код внутри векторных изображений

phishing

В последние дни почтовые системы всё чаще сталкиваются с необычными письмами: вместо привычных ссылок или вложенных документов в них приходят файлы формата SVG (Scalable Vector Graphics). Это не просто очередная мода среди хакеров, а продуманная техника обхода стандартных защитных механизмов.

Описание

Формат SVG изначально создавался для отображения масштабируемой векторной графики в браузерах. Однако его ключевая особенность - поддержка встроенных скриптов на языке JavaScript. Эту возможность давно взяли на вооружение киберпреступники. Текущая волна атак, которую зафиксировали эксперты SANS ISC, отличается необычайной простотой исполнения, но высокой эффективностью. Вредоносные SVG-файлы не содержат вообще никаких графических элементов. Внутри них находится только короткий фрагмент JavaScript-кода, задача которого - перенаправить жертву на фишинговую страницу.

Пример

Специалисты SANS ISC сообщили в своём анализе, что механизм атаки выглядит следующим образом. В теле SVG-файла присутствует переменная, которая содержит адрес электронной почты жертвы, закодированный в формате Base64. Однако основной полезный код спрятан гораздо глубже. Злоумышленники применили двухступенчатое шифрование: строка сначала кодируется в Base64, а затем подвергается операции XOR (исключающего ИЛИ) с использованием динамически вычисляемого ключа. Этот ключ формируется из двух констант, что затрудняет его обнаружение стандартными средствами анализа.

После расшифровки браузер выполняет команду перенаправления. Пользователь переходит по ссылке вида hxxps://chinougoo[.]cfd/W74rH61S. При этом в адресную строку подставляется его собственный email. Такая персонализация повышает доверие жертвы и увеличивает шансы на то, что она введёт свои учётные данные на поддельной странице.

Особого внимания заслуживает доменная зона .cfd. Это сравнительно новая и дешёвая зона, предназначенная для сайтов, связанных с модой и дизайном. Однако, как отмечают аналитики, её низкая стоимость и слабый контроль со стороны регистраторов делают её привлекательной для злоумышленников. Всё чаще фишинговые кампании используют именно такие экзотические домены первого уровня, чтобы обходить чёрные списки, ориентированные на традиционные зоны вроде .com или .ru.

Техническая реализация атаки опирается на одну важную особенность операционной системы Windows. По умолчанию браузеры обрабатывают SVG-файлы как веб-страницы, а не как изображения. Это означает, что встроенный JavaScript-код выполняется автоматически при открытии файла. Пользователь просто кликает на вложение, и его браузер уже через секунду ведёт его на поддельный сайт банка, почтового сервиса или корпоративного портала.

Интересен и выбор MIME-типа (спецификации формата данных) внутри SVG-файла. Вместо привычного text/javascript злоумышленники указали application/ecmascript. ECMAScript - это стандартизированная спецификация, на которой основан JavaScript. Использование официального MIME-типа, скорее всего, преследует цель обойти сигнатурные анализаторы, которые ищут именно строку "text/javascript" в содержимом вложений.

Пока что специалисты SANS ISC фиксируют в рамках этой кампании только фишинговые страницы, нацеленные на кражу учётных данных. Однако они предупреждают, что ничто не мешает злоумышленникам загружать через SVG-файлы и другие виды полезной нагрузки. Например, перенаправлять жертву на страницу с эксплойтом (вредоносным кодом, использующим уязвимости браузера) или загружать программы-вымогатели. Техника универсальна и зависит только от фантазии атакующих.

Метод атаки через SVG-файлы не является принципиально новым. Специалисты по информационной безопасности фиксировали подобные случаи и раньше. Однако текущая кампания отличается массовостью и хорошей технической проработкой механизма расшифровки. Двойная обфускация (запутывание кода) с использованием XOR и Base64 делает анализ вложений более трудоёмким для автоматических сканеров.

Для рядового пользователя главный совет остаётся неизменным: не открывать вложения от незнакомых отправителей, особенно если письмо пришло неожиданно и содержит файл изображения с просьбой посмотреть на приложенную картинку. Для корпоративных систем рекомендуется настроить фильтрацию вложений по типу контента и отключить выполнение скриптов в браузерах для локальных файлов, если это допустимо политиками безопасности.

Проблема усугубляется тем, что SVG - это легитимный и широко используемый формат. Дизайнеры, маркетологи и разработчики ежедневно обмениваются такими файлами. Полностью блокировать их на почтовых шлюзах невозможно без ущерба для бизнес-процессов. Поэтому основной упор стоит делать на поведенческий анализ и песочницы (изолированные среды для проверки файлов), способные выявить попытку перенаправления браузера на внешний ресурс.

Текущая кампания - ещё одно напоминание того, что киберпреступники постоянно адаптируют свои методы под существующие средства защиты. Microsoft, Google и другие разработчики браузеров уже не раз сталкивались с критикой за возможность выполнения кода в SVG-файлах, но пока полноценного решения проблемы не предложено. Вероятно, в будущем браузеры потребуют явного подтверждения выполнения скриптов из загруженных векторных изображений, но до тех пор пользователям остаётся полагаться только на собственную бдительность.

Индикаторы компрометации

URLs

  • https://chinougoo.cfd/W74rH61S

Комментарии: 0