Изображение: recraft
В начале 2025 года специалисты «Лаборатории Касперского» зафиксировали заметный всплеск фишинговых писем, распространявшихся среди частных пользователей и организаций. По оценкам аналитиков, в марте число таких атак с использованием SVG-файлов возросло почти в шесть раз по сравнению с предыдущим месяцем. С января по март по всему миру было выявлено свыше 4 тыс. подобных писем.
Формат SVG (Scalable Vector Graphics), который обычно применяется для описания векторных изображений в интернете, оказался удобным инструментом для киберпреступников. В отличие от привычных форматов изображений JPEG или PNG, SVG поддерживает внедрение JavaScript и HTML, что делает его пригодным для создания интерактивных элементов. По информации компании, злоумышленники используют это преимущество, чтобы внедрять в SVG-файлы скрипты, ведущие на поддельные сайты.
Суть фишинговой схемы сводится к следующему: пользователь получает письмо с вложением в формате SVG. При открытии файла в браузере он видит страницу с кнопкой, которая якобы запускает воспроизведение аудиофайла. Нажав на неё, пользователь попадает на фальшивый сайт, маскирующийся под сервис Google Voice. На экране отображается фиктивная звуковая дорожка, а при попытке её воспроизвести открывается окно, имитирующее форму входа в почтовый аккаунт. Введённые данные тут же оказываются в распоряжении злоумышленников.
Аналогичная схема используется и в других случаях, когда вложение представлено как некий важный документ, требующий проверки или электронной подписи. Внутри файла скрыт JavaScript-код, который при открытии активирует перенаправление на подделку под страницу авторизации Microsoft. Пользователь вводит логин и пароль, думая, что выполняет стандартную процедуру входа, в то время как данные утекают к преступникам.
Роман Деденок, представляющий «Лабораторию Касперского», объяснил, что мошенники продолжают искать новые способы маскировки вредоносных вложений. Сейчас, по его словам, используемые схемы пока не слишком сложны с технической точки зрения — файл либо напрямую содержит поддельную страницу, либо встроенный скрипт, ведущий к ней. Тем не менее, он подчеркнул, что такая технология способна в будущем эволюционировать в более изощрённые атаки, в том числе — таргетированные.
Аналитики компании обращают внимание на то, что массовое применение SVG-файлов в подобных рассылках может быть только началом. Их универсальность и поддержка скриптов создают широкий простор для манипуляций, особенно если преступники решат использовать их в сочетании с другими методами социальной инженерии.
Оригинал публикации на сайте CISOCLUB: "«Лаборатория Касперского»: мошенники используют SVG-файлы для кражи логинов через почтовые рассылки".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.