Mimecast Logo
Richiedi un preventivo

    Abuso di allegati SVG

    31 marzo 2025

    Di Rikesh Vekaria, Marcin Ulikowski e il team di ricerca sulle minacce di Mimecast

    Punti principali

    Cosa imparerai in questa notifica

    • Campagna che utilizza la tecnologia Scalable Vector Graphics (SVG) con reindirizzamenti JavaScript
    • Gli utenti vengono reindirizzati a pagine volte al furto delle credenziali o al download di malware

    Rikesh Vekaria, Marcin Ulikowski e i ricercatori di Mimecast specializzati in minacce informatiche hanno recentemente individuato diverse campagne che utilizzano allegati in formato Scalable Vector Graphics (SVG) nell’ambito di attacchi di phishing finalizzati al furto di credenziali. SVG è un formato immagine basato su XML che supporta il JavaScript incorporato. Ciò consente, ad esempio, l’interattività & e delle animazioni, la gestione degli eventi e la manipolazione del DOM tramite script incorporati. Gli autori delle minacce stanno sfruttando le funzionalità del formato SVG per incorporare codice JavaScript dannoso nei file allegati alle e-mail; una volta aperti, tali file vengono eseguiti e reindirizzano gli utenti verso siti di phishing o, potenzialmente, scaricano malware.

    Di seguito è riportato un semplice esempio che illustra come ciò possa essere utilizzato:



    svg-abuse-illustration-01.webp


    In passato, gli autori delle minacce hanno già utilizzato allegati HTML in modo simile per reindirizzare gli utenti verso pagine di phishing; tuttavia, questo rapido passaggio ai file SVG potrebbe indurre gli utenti a ritenere che un file immagine sia più innocuo di un allegato HTML. Inoltre, è più probabile che gli allegati in formato SVG non vengano sottoposti a controlli altrettanto rigorosi rispetto ai file HTML e ai file eseguibili. Analizzando i codici JavaScript contenuti nei file SVG, il team di ricerca ha individuato diverse tecniche di offuscamento, dalla codifica Base64 alla crittografia simmetrica, volte a eludere il rilevamento.

    Sono state condotte diverse campagne che utilizzano questo metodo, una delle quali fa leva sull’esca di un messaggio vocale. Una volta che l'utente avrà aperto l'allegato, verrà reindirizzato a una pagina di accesso per poter ascoltare il messaggio vocale.



    svg-abuse-illustration-02.webp


    Un esempio simile reindirizza l'utente attraverso diverse fasi, a cominciare da un CAPTCHA in cui all'utente viene richiesto di interagire con la pagina. Questa tecnica continua ad essere comunemente utilizzata per eludere i sistemi di rilevamento di sicurezza.



    svg-abuse-illustration-03.webp


    L'utente verrà quindi reindirizzato a un'altra pagina, dove dovrà cliccare su un pulsante che apre un presunto file PDF per accedere alla pagina finale dedicata alla raccolta delle credenziali.



    svg-abuse-illustration-04.webp svg-abuse-illustration-05.webp


    Tali campagne sono state rilevate all’inizio di febbraio e registrano volumi relativamente elevati. Nelle ultime due settimane abbiamo registrato oltre 2 milioni di rilevamenti, con un picco intorno al 17 e al 18 marzo.



    svg-abuse-illustration-06.webp


    Protezione Mimecast

    Nelle recenti campagne abbiamo individuato diversi elementi che sono stati integrati nelle nostre capacità di rilevamento. Continuiamo a monitorare l'evoluzione delle tecniche utilizzate nei file SVG.

    Obiettivi:

    Globale, tutti i settori

    Indicatori di compromissione

    Oggetti:

    È disponibile un nuovo messaggio vocale dall'ufficio contabilità fornitori. Si prega di ascoltarlo. È necessario intervenire: notifica importante relativa alle credenziali

    Domini utilizzati nella pagina di phishing:

    jihancock[.]sterliingasi[.]com
    aqra[.]qdjcpol[.]ru
    si3[.]kpvjzzh[.]es
    testing[.]lannaathai[.]org
    jutebagbd[.]com
    ceimatarials[.]com

    Hash SVG:

    03b23e85b7de4d5389af11db025c4ee2387446d17217ac569485784d3de8b15a 27f81fc31fff3171545925224a53014644e3b3ea0a1ccec508e3a576816fa7e4 5ef2acf3419a3088fa8096f87b2a186bc06c0e9157dcbb7a57da20cf83926c19 78ea3ffd759f8404331b40b1167aec64b723ecdad43dfc807fa398bbc403b485 75a69423bf73f9ade0235d24d46b341d6d1e74e7bd8f851ee3d6f4e9462da0cd

    Raccomandazioni

    • Valutare i requisiti relativi agli allegati SVG
      • Verificare e individuare gli usi aziendali legittimi degli allegati in formato SVG
      • Modifichi la Sua politica di gestione degli allegati di Mimecast in modo da bloccare o mettere in quarantena specificatamente gli allegati con estensione .svg estensione - Si consiglia di configurare regole dettagliate basate sui domini dei mittenti, consentendo l'accesso ai file SVG solo da parte di partner fidati qualora ciò sia fondamentale per l'attività aziendale
      • Istruite gli utenti a non aprire mai allegati provenienti da mittenti sconosciuti o non verificati
      • Si raccomanda di adottare una politica che preveda la verifica del mittente tramite un canale di comunicazione alternativo prima di aprire allegati inattesi
    • Formazione sulla consapevolezza della sicurezza degli utenti
      • Sviluppare moduli formativi specifici che illustrino i rischi degli attacchi di phishing basati su SVG
      • Effettuare regolarmente simulazioni di phishing che includano scenari di attacco basati su SVG
    • Caccia proattiva alle minacce
      • Effettuare una ricerca nei registri delle e-mail ricevute utilizzando filtri specifici per gli oggetti delle e-mail di phishing
      • Controlli quotidianamente i registri di Web Security, prestando particolare attenzione alle connessioni ai domini di Phishing individuati
    Back to Top