Uwaga na pliki .SVG – pojawiło się nowe zagrożenie

Złośliwe oprogramowanie ukryte w graficznych plikach SVG omija systemy antywirusowe

Platforma VirusTotal, należąca do Google, ujawniła kampanię phishingową, w której cyberprzestępcy wykorzystali ponad 500 spreparowanych plików graficznych SVG do rozpowszechniania złośliwego oprogramowania. Co szczególnie niepokojące, aż 44 z nich nie zostały wykryte przez żaden z silników antywirusowych w momencie zgłoszenia.

Pliki SVG, choć zwykle postrzegane jako nieszkodliwe grafiki wektorowe, mogą zawierać osadzony kod HTML i JavaScript, co czyni je potencjalnie niebezpiecznym nośnikiem ataków. W tym przypadku wykorzystano je do podszywania się pod kolumbijski system sądownictwa. Po otwarciu fałszywego pliku użytkownik widział realistycznie wyglądający portal z paskiem postępu i przyciskiem pobierania. Kliknięcie uruchamiało pobranie zainfekowanego archiwum ZIP z przeglądarką Comodo Dragon (uważaną, całkiem słusznie, za bardziej bezpieczną niż większość) oraz złośliwą biblioteką DLL, która po uruchomieniu instalowała dodatkowe malware.

Analiza VirusTotal wykazała, iż cyberprzestępcy stosowali zaawansowane techniki zaciemniania kodu i wypełniali pliki „śmieciowym” kodem, aby zwiększyć entropię i uniknąć wykrycia. Nie jest to odosobniony przypadek. IBM X-Force już wcześniej dokumentował podobne ataki wymierzone w sektor bankowy i ubezpieczeniowy, a Cloudflare wskazywał na rosnącą liczbę phishingowych SVG służących jako przekierowania lub narzędzia do kradzieży danych logowania.

Na zagrożenie zareagowali już dostawcy systemu – m.in. Microsoft zapowiedział wycofanie obsługi inline SVG w Outlooku dla przeglądarek i nowej wersji programu dla Windows. Zamiast aktywnych grafik użytkownicy zobaczą puste pola, co ma uniemożliwić przemycanie aktywnego kodu w wiadomościach e-mail. Eksperci przypominają, by traktować pliki SVG od nieznanych nadawców z taką samą ostrożnością, jak inne podejrzane załączniki.