За последние месяцы исследователи ANY.RUN зафиксировали волну фишинговых атак, в которых в качестве приманки используются вложения в формате SVG. Эти атаки объединены общим шаблоном — его назвали «Типичный фишинговый набор» или Tykit — и, по мнению экспертов, скорее всего являются продуктом операции «фишинг как услуга» (PhaaS), затронувшей сотни жертв по всему миру.
Внешне ловушка выглядит безобидно: SVG-файл с нежно-голубым фоном и пунктирной синей рамкой, имитирующий всплывающее окно. Пока пользователь отвлечён визуалом, внутри SVG выполняется JavaScript, который делает основную работу. В одной из версий злоумышленники маскируют приманку под «Просмотрщик защищённых документов» с надписью «Загрузка защищённого содержимого…», в другой — показывают цифровую клавиатуру и предлагают ввести четыре последние цифры телефона для доступа к «защищённому порталу». На деле эти вводимые цифры не имеют значения — их цель психологически подготовить жертву к дальнейшим шагам.
Технически поток атаки строится по многоступенчатой схеме: сначала — SVG с встроенным скриптом, затем — перенаправление на промежуточную страницу («батут»), дальше пользователь попадает на основной фишинговый сайт. На нём первым барьером стоит CAPTCHA Cloudflare Turnstile, после чего показывается поддельная форма входа в Microsoft 365. Встроенный JavaScript и серверная логика работают вместе: запросы к командно-управляющим серверам (C2) содержат JSON-объекты с узнаваемыми полями, так что исследователи смогли связать сотни образцов с общей инфраструктурой — все C2-URL содержали строку «segy».
ANY.RUN отмечает, что география атак охватывает преимущественно США, Канаду и страны Юго-Восточной Азии, а среди наиболее уязвимых отраслей — финансы, IT, государственный сектор, профессиональные услуги и строительство. Активность шаблонов Tykit появилась ещё в мае 2025 года, а пик наблюдался в сентябре—октябре 2025 года.
Ключевая опасность таких SVG-вложений в том, что они выглядят как обычные изображения, но способны выполнять скрипты прямо в браузере. Признаки того, что SVG может быть вредоносным, — обфускация кода, вызовы eval() и логика, перенаправляющая пользователя на сторонние домены. Кроме того, фишинговые страницы в этой кампании используют технику «злоумышленник посередине» (AitM): при попытке входа украденные учетные данные реплицируются и проверяются, а при неверном пароле жертве возвращается «ошибка» так, чтобы маскировать и поддерживать поток фишинга.
Исследователи подчеркивают, что обнаружение и блокировка таких атак возможны — для этого пригодны индикаторы компрометации (IOC), выявленные в ходе анализа. В частности, стоит мониторить сетевые запросы к доменам, содержащим «segy», и обращать внимание на трафик, где передаются JSON-объекты с полями, характерными для Tykit. В организационной практике полезно усилить фильтрацию вложений и анализ содержимого SVG, запретить исполнение скриптов в SVG там, где это не требуется, и обучать сотрудников внимательному отношению к неожиданным вложениям, даже если они выглядят как простые изображения.
Хакеры не обязательно работают через очевидные ссылки или HTML-страницы: формат SVG — удобная, мало подозрительная поверхность атаки, и именно её всё чаще используют в масштабных кампаниях PhaaS. Отнеситесь к SVG-вложениям с осторожностью: если файл вызывает сомнения — не открывайте его напрямую в браузере, проверяйте содержимое на предмет скриптов и обфускации и используйте сетевые правила для блокировки известных индикаторов, пока инфраструктура не будет полностью изучена и нейтрализована.