Киберпреступники активно осваивают вложения в формате SVG (масштабируемая векторная графика) как средство уклонения от обнаружения антивирусами. SVG-файлы отличаются от традиционных изображений тем, что создаются на основе математического описания линий и форм, что делает их легкими и универсальными. Этот формат стал отличным инструментом для скрытия вредоносного кода, поскольку текстовый характер SVG затрудняет его обнаружение системами безопасности.
Как работает SVG-фишинг?
SVG может включать элементы HTML и JavaScript. Например, киберпреступники внедряют фишинговые формы или ссылки на вредоносные сайты прямо в код изображения. Такие вложения часто выглядят как поддельные таблицы Excel или документы с формами для ввода учетных данных. При заполнении формы данные отправляются злоумышленникам.
Почему SVG сложен для обнаружения?
SVG-файлы редко встречаются в повседневной переписке, что делает их необычными для пользователей. При этом они плохо идентифицируются антивирусами: исследования показывают, что такие вложения детектируются всего 1-2 решениями на платформе VirusTotal.
Примеры атак
Исследователь MalwareHunterTeam указал на многочисленные случаи использования SVG-файлов для фишинговых кампаний. Зачастую вложения маскируются под официальные запросы, приглашая загрузить «документ», который перенаправляет на вредоносный сайт.
Этот подход напоминает методы, использованные группой Worok, которая скрывала вредоносные данные в PNG-файлах с использованием стеганографии, внедряя вредоносный код в пиксели изображения. Эта техника помогает обходить системы защиты и эффективно распространять вредоносное ПО.
Как защититься?
- Будьте осторожны с необычными вложениями.
- Никогда не открывайте файлы, если вы их не ожидали, и используйте антивирусное ПО с расширенными возможностями анализа вложений.
- Организуйте регулярное обучение сотрудников для повышения их киберграмотности.