Mimecast Logo
Angebot einholen

    Missbrauch von SVG-Anhängen

    31. März 2025

    Von Rikesh Vekaria, Marcin Ulikowski und dem Mimecast Threat Research Team

    Wichtige Punkte

    Was Sie in dieser Benachrichtigung erfahren

    • Kampagne unter Verwendung von Scalable Vector Graphics (SVG) mit JavaScript-Weiterleitungen
    • Die Nutzer werden auf Seiten weitergeleitet, auf denen Zugangsdaten abgefragt werden, oder sie laden Malware herunter

    Rikesh Vekaria, Marcin Ulikowski und die Sicherheitsforscher von Mimecast haben kürzlich mehrere Kampagnen identifiziert, bei denen Anhänge im SVG-Format (Scalable Vector Graphics) für Phishing-Angriffe zum Diebstahl von Zugangsdaten genutzt wurden. SVG ist ein XML-basiertes Bildformat, das eingebettetes JavaScript unterstützt. Dies ermöglicht unter anderem Interaktivität & -Animationen, Ereignisbehandler und die Bearbeitung des DOM mithilfe eingebetteter Skripte. Angreifer nutzen die Möglichkeiten des SVG-Formats, um schädliches JavaScript in E-Mail-Anhänge einzubetten, das beim Öffnen ausgeführt wird und die Nutzer auf Phishing-Seiten umleitet oder möglicherweise Malware herunterlädt.

    Im Folgenden finden Sie ein einfaches Beispiel dafür, wie dies angewendet werden kann:



    svg-abuse-illustration-01.webp


    Cyberkriminelle haben bereits in der Vergangenheit HTML-Anhänge auf ähnliche Weise genutzt, um Nutzer auf Phishing-Seiten umzuleiten; dieser rasche Wechsel zu SVG-Dateien könnte jedoch dazu führen, dass Nutzer davon ausgehen, eine Bilddatei sei harmloser als ein HTML-Anhang. SVG-Anhänge werden zudem im Vergleich zu HTML-Dateien und ausführbaren Dateien mit größerer Wahrscheinlichkeit nicht so gründlich geprüft. Bei der Untersuchung der JavaScript-Codes in den SVG-Dateien hat das Forschungsteam verschiedene Arten von Verschleierungstechniken identifiziert – von der Base64-Kodierung bis hin zur symmetrischen Kryptografie –, die dazu dienen, einer Erkennung zu entgehen.

    Es gab bereits mehrere Kampagnen, bei denen diese Methode zum Einsatz kam; bei einer davon wird mit einer Sprachnachricht als Lockmittel gearbeitet. Sobald der Nutzer den Anhang öffnet, wird er auf eine Anmeldeseite weitergeleitet, um die Sprachnotiz anzuhören.



    svg-abuse-illustration-02.webp


    Ein ähnliches Beispiel leitet den Nutzer über mehrere Schritte weiter, beginnend mit einem CAPTCHA, bei dem der Nutzer mit der Seite interagieren muss. Diese Technik wird nach wie vor häufig eingesetzt, um Sicherheitsmaßnahmen zu umgehen.



    svg-abuse-illustration-03.webp


    Der Nutzer wird anschließend auf eine andere Seite weitergeleitet, auf der er auf eine Schaltfläche klicken muss, die eine vermeintliche PDF-Datei öffnet, um zur endgültigen Seite zum Abgreifen von Anmeldedaten zu gelangen.



    svg-abuse-illustration-04.webp svg-abuse-illustration-05.webp


    Diese Kampagnen wurden Anfang Februar beobachtet und werden in relativ großem Umfang durchgeführt. In den letzten zwei Wochen wurden über 2 Millionen Erfassungen verzeichnet, wobei der Höhepunkt um den 17. und 18. März lag.



    svg-abuse-illustration-06.webp


    Mimecast-Schutz

    Wir haben bei den jüngsten Kampagnen mehrere Merkmale identifiziert, die in unsere Erkennungsfunktionen aufgenommen wurden. Wir beobachten weiterhin, ob sich die in SVG-Dateien verwendeten Techniken ändern.

    Ziele:

    Weltweit, alle Branchen

    des IOC

    Themen:

    Neue Sprachnachricht von der Kreditorenbuchhaltung zum Abhören – Maßnahme erforderlich – Wichtige Benachrichtigung zu Ihren Zugangsdaten

    Auf der Phishing-Seite verwendete Domains:

    jihancock[.]sterliingasi[.]com
    aqra[.]qdjcpol[.]ru
    si3[.]kpvjzzh[.]es
    testing[.]lannaathai[.]org
    jutebagbd[.]com
    ceimatarials[.]com

    SVG-Hash:

    03b23e85b7de4d5389af11db025c4ee2387446d17217ac569485784d3de8b15a 27f81fc31fff3171545925224a53014644e3b3ea0a1ccec508e3a576816fa7e4 5ef2acf3419a3088fa8096f87b2a186bc06c0e9157dcbb7a57da20cf83926c19 78ea3ffd759f8404331b40b1167aec64b723ecdad43dfc807fa398bbc403b485 75a69423bf73f9ade0235d24d46b341d6d1e74e7bd8f851ee3d6f4e9462da0cd

    Empfehlungen

    • Anforderungen an SVG-Anhänge prüfen
      • Überprüfung und Ermittlung legitimer geschäftlicher Verwendungszwecke für SVG-Dateianhänge
      • Passen Sie Ihre Mimecast-Richtlinie zur Anhangsverwaltung so an, dass Anhänge mit der Dateiendung .svg gezielt blockiert oder unter Quarantäne gestellt werden. Erweiterung – Erwägen Sie die Konfiguration detaillierter Regeln auf Basis von Absenderdomänen, sodass SVG-Dateien nur von vertrauenswürdigen Partnern zugelassen werden, sofern dies geschäftskritisch ist
      • Schulen Sie die Nutzer darin, niemals Anhänge von unbekannten oder nicht verifizierten Absendern zu öffnen
      • Führen Sie eine Richtlinie ein, die vorschreibt, dass der Absender vor dem Öffnen unerwarteter Anhänge über einen alternativen Kommunikationskanal überprüft werden muss.
    • Benutzerschulung zum Sicherheitsbewusstsein
      • Entwickeln Sie spezifische Schulungsmodule, die die Risiken von SVG-basierten Phishing-Angriffen veranschaulichen
      • Führen Sie regelmäßig Phishing-Simulationen durch, die SVG-basierte Angriffsszenarien beinhalten
    • Proaktive Bedrohungssuche
      • Durchsuchen Sie die Protokolle der E-Mail-Eingänge mithilfe spezifischer Filter nach den Betreffzeilen von Phishing-E-Mails
      • Überprüfen Sie täglich Ihre Web Security-Protokolle und achten Sie dabei besonders auf Verbindungen zu den identifizierten Phishing-Domains
    Zurück zum Anfang