Atakujący ukrywają JavaScript w obrazach SVG, aby zwabić użytkowników do złośliwych witryn

Jak wynika z najnowszych badań zespołu Ontinue Advanced Threat Operations, coraz częściej zdarzają się ataki cybernetyczne. Hakerzy wykorzystują teraz pozornie nieszkodliwe pliki graficzne SVG (Scalable Vector Graphics) do przemycania złośliwego kodu z pominięciem tradycyjnych zabezpieczeń.

Ta technika, nazwana przez badaczy „SVG Smuggling”, wykorzystuje te zazwyczaj nieszkodliwe pliki graficzne do przekierowywania użytkowników na strony internetowe kontrolowane przez atakujących bez ich wiedzy. Odkrycia Ontinue, udostępnione serwisowi Hackread.com, wskazują na te ukierunkowane ataki, wymierzone głównie w dostawców usług B2B, w tym firmy przetwarzające poufne dane korporacyjne (takie jak dane finansowe i pracownicze), przedsiębiorstwa użyteczności publicznej oraz dostawców oprogramowania jako usługi (SaaS), którzy często są podatni na ataki ze względu na dużą liczbę wiadomości e-mail.

Atak rozpoczyna się od oszukańczych wiadomości e-mail tworzonych przez cyberprzestępców, wykorzystujących tematy takie jak „Lista zadań do wykonania”, „Nieodebrane połączenie” lub powiadomienia „Płatność”. Są to bardzo przekonujące wiadomości phishingowe , które wydają się pochodzić od zaufanych źródeł lub osób, wykorzystując słabe lub nieistniejące zabezpieczenia, takie jak SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) i DMARC (Domain-based Message Authentication, Reporting, and Conformance).

Wszystkie te metody uwierzytelniania wiadomości e-mail mają na celu sprawdzenie, czy wiadomość jest autentyczna i nie została sfałszowana. Czasami atakujący wykorzystują nawet domeny imitujące domeny – adresy internetowe, które są bardzo podobne do prawdziwych – aby oszukać użytkowników.

Złośliwy plik SVG można dołączyć bezpośrednio do wiadomości e-mail lub udostępnić jako zewnętrzny obraz. Same wiadomości e-mail są często bardzo proste, aby uniknąć podejrzeń i zachęcić odbiorcę do otwarcia pliku SVG, co z kolei uruchamia ukryty skrypt.

Atakujący wykorzystują tymczasowe domeny o niskiej reputacji z losowymi subdomenami do hostowania swojej złośliwej infrastruktury, co utrudnia ich śledzenie i blokowanie. To rozwijające się zagrożenie polega na osadzaniu ukrytego, zaciemnionego kodu JavaScript w plikach SVG, często w… Sekcje. Gdy użytkownik otwiera lub wyświetla podgląd takiego pliku SVG w przeglądarce internetowej, ukryty skrypt uruchamia się bezgłośnie.

Ten skrypt, używając statycznego klucza XOR do odszyfrowania swojego ładunku, następnie wykorzystuje wbudowane funkcje przeglądarki, takie jak window.location.href (która zmienia bieżący adres strony internetowej) i atob() (która dekoduje zaszyfrowane dane), aby skierować ofiarę na fałszywą stronę. Ostateczny adres URL przekierowania często zawiera ciągi znaków zakodowane w standardzie Base64, prawdopodobnie wykorzystywane do śledzenia lub korelacji ofiar.

Według ekspertów ds. bezpieczeństwa Ontinue, technika ta omija wiele popularnych narzędzi, ukrywając szkodliwy kod w obrazach. Aby temu zapobiec, organizacje powinny aktywować funkcje Microsoft Defender, takie jak Bezpieczne Linki, Bezpieczne Załączniki, zasady ochrony przed phishingiem oraz funkcję Zero-hour Auto Purge (ZAP). Wzmocnienie bezpieczeństwa poczty e-mail za pomocą protokołu DMARC , zgodności SPF/DKIM, blokowania załączników SVG lub usuwania zawartości jest kluczowe. Monitorowanie podobnych domen i edukacja użytkowników w zakresie zagrożeń związanych z plikami SVG to również kluczowe kroki w celu zapewnienia bezpieczeństwa.

„ To nowatorskie podejście do techniki wykorzystywania plików graficznych do dostarczania podejrzanych treści, w tym przypadku złośliwych plików PDF. Atakujący muszą polegać na samozadowoleniu („to tylko obraz, nie wykonuje kodu”), aby uśpić czujność organizacji i skłonić je do zaakceptowania tych treści i wprowadzenia ich do sieci ” – powiedział John Bambenek , prezes Bambenek Consulting.

„ Chociaż raport i badania są cenne dla przedsiębiorstw, a poszukiwania są cenne dla zespołów śledczych, organizacje nieposiadające personelu ds. bezpieczeństwa lub użytkowników końcowych nadal będą narażone na konwencjonalne cyberprzestępstwa wykorzystujące tę technikę ” – dodał.