Abus de pièces jointes SVG
31 mars 2025
Par Rikesh Vekaria, Marcin Ulikowski et l'équipe de recherche sur les menaces de Mimecast
Ce que vous apprendrez dans cette notification
- Campagne utilisant le format SVG (Scalable Vector Graphics) avec des redirections JavaScript
- Les utilisateurs sont redirigés vers des pages destinées à récupérer leurs identifiants ou à télécharger des malware
Rikesh Vekaria, Marcin Ulikowski et les chercheurs en cybersécurité de Mimecast ont récemment identifié plusieurs campagnes utilisant des pièces jointes au format SVG (Scalable Vector Graphics) dans le cadre d'attaques de Phishing visant à dérober des identifiants. Le format SVG est un format d'image basé sur XML qui prend en charge le JavaScript intégré. Cela permet notamment l'interactivité &, les animations, les gestionnaires d'événements et la manipulation du DOM à l'aide de scripts intégrés. Les cybercriminels exploitent les fonctionnalités du format SVG pour intégrer du code JavaScript malveillant dans des pièces jointes aux e-mails ; lorsque celles-ci sont ouvertes, ce code s'exécute et redirige les utilisateurs vers des sites de Phishing ou peut entraîner le téléchargement de malware.
Vous trouverez ci-dessous un exemple simple illustrant comment cela peut être utilisé :
Les cybercriminels ont déjà utilisé des pièces jointes au format HTML de manière similaire pour rediriger les utilisateurs vers des pages de Phishing ; toutefois, ce passage rapide aux fichiers SVG pourrait amener les utilisateurs à penser qu'un fichier image est moins dangereux qu'une pièce jointe au format HTML. Les pièces jointes au format SVG sont également susceptibles de faire l'objet d'une inspection moins rigoureuse que les fichiers HTML et les fichiers exécutables. En analysant les scripts JavaScript contenus dans les fichiers SVG, l'équipe de recherche a identifié plusieurs types de techniques d'obfuscation, allant de l'encodage Base64 à la cryptographie symétrique, visant à échapper à la détection.
Plusieurs campagnes ont été menées en utilisant cette méthode, dont l'une mise sur l'attrait d'un message vocal. Dès que l'utilisateur aura ouvert la pièce jointe, il sera redirigé vers une page de connexion pour écouter le message vocal.
Un exemple similaire redirige l'utilisateur à travers plusieurs étapes, en commençant par un CAPTCHA où l'utilisateur doit interagir avec la page. Cette technique continue d'être couramment utilisée pour contourner les systèmes de détection de sécurité.
L'utilisateur sera ensuite redirigé vers une autre page, où il devra cliquer sur un bouton permettant d'ouvrir un prétendu fichier PDF pour accéder à la page finale destinée à la collecte des identifiants.
Ces campagnes ont été observées début février et se déroulent à un volume relativement élevé. Au cours des deux dernières semaines, nous avons enregistré plus de 2 millions de détections, le pic ayant été atteint vers les 17 et 18 mars.
Protection Mimecast
Nous avons identifié plusieurs caractéristiques dans les campagnes récentes, qui ont été intégrées à nos capacités de détection. Nous continuons à surveiller l'évolution des techniques utilisées dans les fichiers SVG.
Objectifs:
Global, tous les secteurs
CIO
Sujets :Un nouveau message vocal du service des comptes fournisseurs est disponible. À écouter. Action requise – Notification importante concernant vos identifiants
Noms de domaine utilisés sur la page de Phishing :
jihancock[.]sterliingasi[.]com
aqra[.]qdjcpol[.]ru
si3[.]kpvjzzh[.]es
testing[.]lannaathai[.]org
jutebagbd[.]com
ceimatarials[.]com
03b23e85b7de4d5389af11db025c4ee2387446d17217ac569485784d3de8b15a 27f81fc31fff3171545925224a53014644e3b3ea0a1ccec508e3a576816fa7e4 5ef2acf3419a3088fa8096f87b2a186bc06c0e9157dcbb7a57da20cf83926c19 78ea3ffd759f8404331b40b1167aec64b723ecdad43dfc807fa398bbc403b485 75a69423bf73f9ade0235d24d46b341d6d1e74e7bd8f851ee3d6f4e9462da0cd
Recommandations
- Évaluer les exigences relatives aux pièces jointes au format SVG
- Vérifier et identifier les utilisations professionnelles légitimes des pièces jointes au format SVG
- Modifiez votre politique de gestion des pièces jointes Mimecast afin de bloquer ou de mettre en quarantaine spécifiquement les pièces jointes portant l'extension .svg extension - Envisagez de configurer des règles détaillées en fonction des domaines d'expéditeurs, en n'autorisant les fichiers SVG provenant que de partenaires de confiance si cela est essentiel pour l'activité
- Apprenez aux utilisateurs à ne jamais ouvrir les pièces jointes provenant d'expéditeurs inconnus ou non vérifiés
- Mettez en place une politique exigeant la vérification de l'expéditeur via un autre canal de communication avant d'ouvrir des pièces jointes inattendues
- Formation de sensibilisation à la sécurité des utilisateurs
- Élaborer des modules de formation spécifiques mettant en évidence les risques liés aux attaques de Phishing utilisant le format SVG
- Organisez régulièrement des simulations de Phishing incluant des scénarios d'attaque basés sur le format SVG
- Recherche proactive des menaces
- Recherchez dans les journaux des e-mails reçus à l'aide de filtres spécifiques pour les objets d'e-mails de Phishing
- Consultez quotidiennement vos journaux de Web Security, en accordant une attention particulière aux connexions vers les domaines de Phishing identifiés