Файлы SVG (Scalable Vector Graphics), традиционно используемые для создания логотипов, иконок и динамической графики в вебе, всё чаще становятся инструментом киберпреступников. Несмотря на то, что этот формат часто остаётся в тени более популярных документов - PDF или файлов Office - его гибридная природа позволяет внедрять JavaScript, ссылаться на внешние ресурсы и успешно отображаться в браузерах даже при наличии вредоносного кода.
Описание
SVG-файлы основаны на XML, имеют текстовую структуру и поддерживают скрипты, стилизацию и анимацию. Это делает их чем-то средним между изображением и веб-приложением. Именно эти возможности активно используют злоумышленники, встраивая в графику редиректы на фишинговые страницы, JavaScript-полезную нагрузку или даже похитители учетных данных.
Одним из ярких примеров стала кампания Shadow Vector, нацеленная на пользователей в Колумбии. Злоумышленники применяли технику SVG Smuggling, внесённую в матрицу MITRE ATT&CK. Жертвы получали spear-phishing письма с SVG-вложениями, которые при открытии в браузере перенаправляли на легитимные файлообменники, такие как Dropbox или Discord, откуда загружались вредоносные DLL и исполняемые файлы. Финальной целью была установка троянов удаленного доступа (RAT).
Статистика подтверждает растущую угрозу. Ещё в мае 2025 года специалисты Sublime Security сообщили о росте числа SVG-полезных нагрузок в фишинговых письмах на 47 000%. Хотя многие такие атаки относятся к категории Phishing-as-a-Service (PhaaS) или массового мусорного спама, продвинутые группы, такие как SocGhoulish, также активно используют этот вектор.
Обнаружение подозрительных SVG-файлов осложнено несколькими факторами: низким приоритетом проверки в большинстве систем безопасности, применением обфусцированного JavaScript для обхода статического анализа, а также размещением вредоносного контента на доверенных доменах.
Ключевую роль в противодействии таким угрозам играет использование YARA - языка для создания сигнатур, позволяющего выявлять подозрительные патерны в файлах. YARA-правила особенно эффективны на уровнях почтовых шлюзов, веб-прокси и песочниц, где можно перехватить файл до его попадания на конечное устройство.
Платформы вроде Stairwell предлагают ретроспективный анализ, позволяя искать по всем файлам, когда-либо присутствовавшим в инфраструктуре - даже если подозрительный SVG был загружен несколько месяцев назад. Это даёт возможность не только оперативно обнаруживать угрозы, но и проводить глубокое расследование инцидентов, определять масштаб компрометации и отслеживать связанные индикаторы компрометации.
Таким образом, SVG-файлы, оставаясь важным элементом современного веба, требуют повышенного внимания со стороны специалистов по кибербезопасности. Их способность обходить традиционные средства защиты делает необходимым использование продвинутых инструментов детекции, включая сигнатурный анализ и платформы ретроспективного поиска.
YARA
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 | rule SVG_Suspicious_Script_Content { meta: description = "Hunt for SVG files with script tags, javascript: URIs, or obfuscation functions (eval, atob, fromCharCode, CDATA)" strings: $svg_start = "<svg" nocase $javascript = "javascript:" nocase $script_tag = "<script" nocase $eval = "eval(" nocase $atob = "atob(" nocase $fromcharcode = "fromCharCode(" nocase $cdata = "<
