Зловмисники дедалі частіше використовують вкладення у форматі SVG (Scalable Vector Graphics), щоб розповсюджувати шкідливе програмне забезпечення, обходячи системи виявлення. Про це повідомляє Bleeping Computer.
Більшість зображень в Інтернеті представлені у форматах JPG або PNG, які складаються з сітки пікселів. Кожен піксель має певне значення кольору, і всі разом вони утворюють зображення. SVG, або масштабована векторна графіка, створює зображення іншим способом: замість пікселів використовуються лінії, форми та текст, які описані у вигляді математичних формул у текстовому коді.
Наприклад, наступний текст створить прямокутник, коло, посилання та деякий текст:
<svg width="200" height="200" xmlns="http://www.w3.org/2000/svg">
<!-- A rectangle -->
<rect x="10" y="10" width="100" height="50" fill="blue" stroke="black" stroke-width="2" />
<!-- A circle -->
<circle cx="160" cy="40" r="40" fill="red" />
<!-- A line -->
<line x1="10" y1="100" x2="200" y2="100" stroke="green" stroke-width="3" />
<!-- A text -->
<text x="50" y="130" font-size="20" fill="black">Hello, SVG!</text>
</svg>
При відкритті у браузері цей код створить графіку, описану вище.
Оскільки SVG-зображення є векторними, вони автоматично змінюють розмір без втрати якості або спотворення форми, що робить їх ідеальними для браузерів із різними роздільними здатностями.
Використання SVG-вкладень для обходу систем виявлення
Застосування SVG-файлів у фішингових кампаніях не є новим явищем. Раніше BleepingComputer повідомляв про використання SVG у кампаніях Qbot або для приховування шкідливих скриптів.
Проте дослідник безпеки MalwareHunterTeam зазначив, що зловмисники дедалі активніше використовують SVG-файли. Вони можуть не лише відображати графіку, але й містити HTML за допомогою елемента <foreignObject> або виконувати JavaScript при завантаженні зображення.
Як це працює
Фішингові форми: SVG-файли можуть відображати підроблені форми для входу, як-от Excel із полями для введення логіну та пароля. Коли дані вводяться, вони надсилаються зловмисникам.
Розповсюдження шкідливого ПЗ: Інші SVG-вкладення маскуються під офіційні документи або запити, що закликають завантажити додаткову інформацію. Натискання кнопки завантаження спричиняє завантаження шкідливого програмного забезпечення з віддаленого сайту.
Автоматичне перенаправлення: Деякі кампанії використовують SVG із вбудованим JavaScript для автоматичного перенаправлення браузера на фішингові сайти після відкриття файлу.
Чому SVG важко виявити
SVG-файли є текстовими описами графіки, тому багато систем безпеки не сприймають їх як загрозу. Зразки, які були завантажені у VirusTotal, мали не більше ніж 1-2 виявлення антивірусними програмами.
Як захиститися
- Будьте обережні. Отримання SVG-вкладення в електронній пошті — рідкісне явище для легітимної комунікації.
- Довіряйте лише перевіреним джерелам. Якщо ви не є розробником і не очікуєте отримати такі файли, краще видалити електронний лист.
SVG-вкладення можуть бути небезпечними, навіть якщо виглядають безневинно. Користувачам варто бути пильними й уникати взаємодії з такими файлами без необхідності.
Читайте також на нашому сайті про Discord: як вимкнути функцію, яка відстежує вашу ігрову активність.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
