Злоумышленники скрывают JavaScript в изображениях SVG, чтобы заманить пользователей на вредоносные сайты

Согласно последнему исследованию группы Ontinue Advanced Threat Operations, набирает популярность новая форма кибератак: хакеры теперь используют, казалось бы, безобидные файлы изображений масштабируемой векторной графики (SVG), чтобы внедрить вредоносный код в обход традиционных средств защиты.

Эта техника, названная исследователями «контрабандой SVG», использует эти обычно безобидные файлы изображений для перенаправления пользователей на контролируемые злоумышленниками веб-сайты без их ведома. Выводы Ontinue, предоставленные Hackread.com, указывают на то, что эти целевые атаки в первую очередь нацелены на поставщиков B2B-услуг, включая компании, обрабатывающие конфиденциальные корпоративные данные (например, финансовую информацию и информацию о сотрудниках), коммунальные предприятия и провайдеров SaaS , которые часто подвержены атакам из-за большого объема электронных писем.

Атака начинается с ложных электронных писем, создаваемых киберпреступниками с использованием тем вроде «Список дел», «Пропущенный звонок» или «Уведомления об оплате». Это весьма убедительные фишинговые письма , которые выглядят как отправленные от доверенных источников или лиц, используя слабые или отсутствующие меры безопасности, такие как SPF (инфраструктура политики отправителя), DKIM (идентификация почты по ключам домена) и DMARC (аутентификация сообщений на основе домена, отчётность и соответствие).

Все эти методы аутентификации электронной почты предназначены для проверки подлинности письма и того, что оно не поддельное. Иногда злоумышленники даже используют домены-двойники — веб-адреса, очень похожие на настоящие, — чтобы обмануть пользователей.

Вредоносный SVG-файл можно прикрепить непосредственно к электронному письму или использовать в качестве внешнего изображения. Сами письма часто оформляются очень просто, чтобы избежать подозрений и побудить получателя открыть SVG-файл, что затем запускает скрытый скрипт.

Злоумышленники используют временные домены с низкой репутацией и случайными поддоменами для размещения своей вредоносной инфраструктуры, что затрудняет их отслеживание и блокировку. Эта развивающаяся угроза включает в себя внедрение скрытого, замаскированного кода JavaScript в SVG-файлы, часто в Разделы. Когда пользователь открывает или просматривает такой SVG-файл в веб-браузере, скрытый скрипт выполняется без уведомления.

Этот скрипт, использующий статический ключ XOR для расшифровки полезной нагрузки, затем использует встроенные функции браузера, такие как window.location.href (изменяет текущий адрес веб-страницы) и atob() (декодирует зашифрованные данные), чтобы перенаправить жертву на мошеннический сайт. Конечный URL перенаправления часто содержит строки в кодировке Base64, вероятно, используемые для отслеживания или корреляции жертвы.

По мнению экспертов по безопасности Ontinue, этот метод позволяет обойти многие распространённые инструменты, скрывая вредоносный код в изображениях. Для противодействия этому методу организациям следует активировать такие функции Microsoft Defender, как «Безопасные ссылки», «Безопасные вложения», «Антифишинговые политики» и «Автоматическая очистка в нулевой час» (ZAP). Укрепление безопасности электронной почты с помощью DMARC , сопоставления SPF/DKIM, блокировки вложений SVG и удаления контента крайне важно. Мониторинг похожих доменов и информирование пользователей о рисках SVG также являются важными мерами для обеспечения безопасности.

« Это новый взгляд на технику использования файлов изображений для доставки подозрительного контента, в данном случае вредоносных PDF-файлов. Злоумышленникам приходится полагаться на самоуспокоенность («это всего лишь изображение, оно не выполняет код»), чтобы усыпить бдительность организаций и заставить их принять этот контент и разместить его в сети » , — заявил Джон Бамбенек , президент Bambenek Consulting.

« Хотя этот отчет и исследование представляют ценность для предприятий, а результаты поиска — для поисковых групп, организации без службы безопасности или конечных потребителей останутся уязвимыми для обычных киберпреступников, использующих эту технику » , — добавил он.