Bilgisayar korsanları, Windows sistemlerine kötü amaçlı yazılımları dağıtmak için gömülü JavaScript ile SVG dosyalarını kullanır


Tehdit aktörleri, hızla gelişen siber güvenlik alanında geleneksel savunmaların ötesine geçmek için ölçeklenebilir vektör grafikleri (SVG) dosyalarını giderek daha fazla kullanıyor.

Piksel tabanlı verileri depolayan JPEG veya PNG gibi raster formatlarının aksine, SVG’ler, sorunsuz ölçeklenebilirlik sağlayan vektör şekillerini, yolları ve metni tanımlayan XML yapılı belgelerdir.

Bununla birlikte, bu doğal esneklik, bir web tarayıcısında birçok Windows sisteminde varsayılan bir davranış oluşturulduktan sonra etkinleştirilebilen yürütülebilir JavaScript kodunun gömülmesine izin verir.

Seqrite raporuna göre, saldırganlar, kötü niyetli SVG’leri mızrak aktı e-postaları veya Dropbox, Google Drive veya OneDrive gibi bulut depolama platformları aracılığıyla kullanarak, genellikle zararsız görünümleri nedeniyle e-posta güvenlik ağ geçitlerinden kaçınarak bunu kullanıyor.

SVG Dosyaları
Kötü amaçlı SVG kodu.

Kimlik avı için bir vektör olarak SVG

Saldırı zinciri tipik olarak, “yaklaşan toplantı.svg” veya “to-do-list.svg” olarak gizlenmiş gibi aldatıcı bir e-posta eki ile başlar ve “planlanan etkinliğiniz için hatırlatma 7212025.msg” gibi zorlayıcı konu satırlarıyla eşlik eder.

Açıldıktan sonra, SVG dosyası tarayıcıya yüklenir, gizlenmiş yükleri kodunu çözen ve kurbanları komuta ve kontrol (C2) kimlik avı alanlarına yönlendiren ve potansiyel olarak kimlik hırsızlığı veya kötü amaçlı yazılım dağıtımına yol açan gömülü komut dosyaları yürütür.

Bu saldırıların teknik karmaşıklığı, SVG’nin XML çerçevesinde kötü niyetli mantığı gizleme yeteneğinde yatmaktadır.

SVG Dosyaları
SVG kampanyasının saldırı zinciri

Örneğin, rakipler gömülü

Kod çözülmüş bir yük daha sonra window.location = ‘JavaScript:’ + DecoDed_String gibi yapıları kullanabilir; tarayıcı yeniden yönlendirmeyi hxxps: // hju gibi sitelere zorlamak için[.]yxfbynit[.]ES/KORFAEHVFEQZ! BM9.

Bu hedefler genellikle otomatik tarayıcıları filtrelemek için Cloudflare captcha kapılara sahiptir ve bunu Microsoft 365 veya Google Workspace gibi hizmetleri taklit eden hiper gerçekçi kimlik avı sayfaları gelir.

Burada, saldırganlar kimlik bilgilerini gerçek zamanlı olarak yakalarlar ve verileri püskürtmeden önce özgünlüğü sağlamak için meşru API’lere karşı doğrular.

Gelişmiş varyantlarda, yönlendirilen sayfa, keynerloggers veya fidye yazılımları gibi kalıcı tehditler kurmak için tarayıcı güvenlik açıklarından veya sosyal mühendislikten yararlanan ikincil kötü amaçlı yazılımlar için bir damlaçiye hizmet edebilir.

Bu yöntemin etkinliği, vektör grafikleri üzerinde yürütülebilir ikili dosyaları önceliklendiren birçok antivirüs çözümünü ve tipik olarak hiçbir izleyicinin yapılandırılmadığı Windows’ta otomatik tarayıcı işlenmesinden kaynaklanan SVG’lerden kaynaklanmaktadır.

Savunma stratejileri

Bu riskleri azaltmak için kuruluşlar, SVG’lerde XML ve JavaScript’i ayrıştırabilen derin içerik denetim araçlarını içeren katmanlı savunmaları benimsemelidir.

Grup politikaları veya uç nokta yapılandırmaları yoluyla güvenilmeyen dosyalar için otomatik tarayıcı oluşturma işlemini devre dışı bırakma, istenmeyen komut dosyası yürütülmesini önleyebilir.

Çalışan eğitim programları, tanıdık olmayan eklere karşı uyanıklığı vurgulamalı, eşleşmeyen gönderen alanları veya genel dosya adları gibi göstergeleri vurgulamalıdır.

Anormal yönlendirmeler için ağ izleme, olağandışı komut dosyası davranışları ve bilinen kimlik avı C2’lerine trafik daha da güçlendirir.

Siber suçlular bu teknikleri geliştirdikçe, tehdit istihbarat beslemelerini ve davranışsal analizleri güvenlik operasyon merkezlerine entegre etmek zorunlu hale gelir.

SVG’leri sadece görüntü olarak değil, potansiyel kod yürütme vektörleri olarak ele alarak, işletmeler bu gelişen tehdit manzarasını proaktif olarak ele alabilir ve başarılı ihlallerin olasılığını azaltarlar.

Uzlaşma Göstergeleri (IOCS)

Karma değeri
C78A99A4E6C04AE3C8D49C8351818090
F68E33C9310AF3503942E066F8C9ED1
2ecce89fa1e5de9f94d038744fc34219
6b51979fae37fa27f0ed13e2bcf37e
4aea855cde4c963016ed36566ae113b7
84CA41529259A2CEAAA825403363074538

The Ultimate SOC-as-a-Service Pricing Guide for 2025Ücretsiz indir



Source link