Современные фишинговые атаки становятся все более изощренными, и преступники начали применять новый инструмент в своих схемах мошенничества. В рамках последнего отчета стало известно, что агенты киберугроз начали использовать формат файлов SVG (масштабируемая векторная графика) для обхода традиционных защитных механизмов от спама и фишинга.
Механизм действий фишинга
Злоумышленники используют вредоносные SVG файлы, встраивающие ссылки на фишинговые страницы. Эти ссылки часто содержат простые текстовые призывы, такие как «Нажмите, чтобы открыть». В результате жертвы перенаправляются на мошеннические сайты, которые используют защиту от капчи CloudFlare.
Фишинговые страницы обрамляют законные экраны входа в систему Office365, позволяя злоумышленникам собирать учетные данные пользователей. Эти SVG файлы могут различаться по своей сложности:
- Простые версии содержат закомментированный текст, скопированный из Википедии;
- Более сложные примеры используют JavaScript для автоматического перенаправления на фишинговые сайты с задержкой;
Злоумышленники также контролируют фишинговые домены, создавая интерфейсы входа в Office365, которые имитируют официальные. Часто при этом предварительно вводятся адреса электронной почты, встроенные в SVG ссылки.
Тревожные особенности атак
Одна из самых тревожных черт этого механизма фишинга — использование EventListener в iFrame для фиксации нажатий клавиш в режиме реального времени. Собранные данные отправляются на контролируемые злоумышленниками домены. В некоторых случаях информация пересылается на несколько сайтов одновременно, включая передачу данных на бота в Telegram.
Локализация атак
Фишинговые операции продолжают развиваться, и преступники начали адаптировать свои атаки к конкретным языкам. Поступают сообщения о фишинговых страницах, создающих иллюзию легитимных сайтов и активно пытающихся получить доступ к сетевым каналам пользователей.
Подмена и вредоносные кампании
В дополнение к фишингу злоумышленники используют вредоносное ПО, упакованное в ZIP-файлы. Один из таких файлов содержит исполняемый файл Windows, замаскированный под изображение. Этот исполняемый файл классифицируется как программа для регистрации нажатий клавиш под названием Nymeria, которая активируется при взаимодействии с файловым изображением.
Рекомендации по защите
В ответ на эти растущие угрозы разрабатываются средства обнаружения, такие как сигнатура обнаружения Cxmail/EmSVG-C в электронной почте Sophos Central. Для повышения безопасности рекомендуется:
- Загружать только подлинные файлы SVG;
- Настраивать системы для открытия таких файлов в небраузерных приложениях, например, Notepad;
- Быть бдительными при выявлении попыток фишинга, внимательно проверяя адреса электронной почты и URL-адреса.
Фишинговые атаки с использованием SVG файлов представляют собой серьезную угрозу. Кибербезопасность требует постоянного внимания и быстрого реагирования на новые методы, используемые злоумышленниками.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Фишинг-атаки нового поколения: угрозы от SVG-файлов".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.