Компания Ontinue обнаружила новый тип кибератак, при котором злоумышленники внедряют JavaScript в файлы SVG. Эта техника получила название «SVG Smuggling» и позволяет незаметно перенаправлять пользователя на подконтрольные хакерам сайты.
SVG — это обычно безопасный формат векторных изображений, однако при открытии или предварительном просмотре такого файла в браузере запускается скрытый скрипт. Основными целями атак становятся B2B-поставщики услуг, компании, работающие с финансовыми и кадровыми данными, коммунальные предприятия и SaaS-провайдеры, которые часто подвержены фишинговым рассылкам из-за большого объема входящей почты.
Атака начинается с фишинговых писем с темами вроде «ToDoList», «Missed Call» или «Payment». Они маскируются под сообщения от доверенных отправителей, иногда с использованием поддельных доменов, схожих с реальными. Во многих организациях при этом не настроены SPF, DKIM и DMARC — механизмы проверки подлинности электронной почты.
Вредоносный SVG может быть вложен в письмо или загружаться с внешнего сервера. Код в нем размещается внутри секций <script><!]></script>, шифруется с помощью статического XOR-ключа и при открытии файла использует функции браузера window.location.href и atob() для перенаправления пользователя на фальшивый сайт. Итоговый URL часто содержит Base64-строки, позволяющие отслеживать жертв.
Злоумышленники применяют временные домены с низкой репутацией и случайными поддоменами, что усложняет их блокировку.
Эксперты советуют включить в Microsoft Defender функции Safe Links, Safe Attachments, антифишинговые политики и Zero-hour Auto Purge (ZAP), настраивать SPF/DKIM/DMARC, блокировать вложения в формате SVG или использовать технологии разоружения контента (CDR), а также отслеживать поддельные домены и обучать сотрудников.
По словам Джона Бамбенека, президента Bambenek Consulting, это модификация старой техники доставки вредоносного кода через файлы изображений, ранее часто применявшейся с PDF. Хакеры рассчитывают на то, что организации воспримут изображение как безопасный файл, и это позволит вредоносному коду проникнуть внутрь сети.
