Tehdit aktörleri, hızla gelişen siber güvenlik alanında geleneksel savunmaların ötesine geçmek için ölçeklenebilir vektör grafikleri (SVG) dosyalarını giderek daha fazla kullanıyor.
Piksel tabanlı verileri depolayan JPEG veya PNG gibi raster formatlarının aksine, SVG’ler, sorunsuz ölçeklenebilirlik sağlayan vektör şekillerini, yolları ve metni tanımlayan XML yapılı belgelerdir.
Bununla birlikte, bu doğal esneklik, bir web tarayıcısında birçok Windows sisteminde varsayılan bir davranış oluşturulduktan sonra etkinleştirilebilen yürütülebilir JavaScript kodunun gömülmesine izin verir.
Seqrite raporuna göre, saldırganlar, kötü niyetli SVG’leri mızrak aktı e-postaları veya Dropbox, Google Drive veya OneDrive gibi bulut depolama platformları aracılığıyla kullanarak, genellikle zararsız görünümleri nedeniyle e-posta güvenlik ağ geçitlerinden kaçınarak bunu kullanıyor.

Kimlik avı için bir vektör olarak SVG
Saldırı zinciri tipik olarak, “yaklaşan toplantı.svg” veya “to-do-list.svg” olarak gizlenmiş gibi aldatıcı bir e-posta eki ile başlar ve “planlanan etkinliğiniz için hatırlatma 7212025.msg” gibi zorlayıcı konu satırlarıyla eşlik eder.
Açıldıktan sonra, SVG dosyası tarayıcıya yüklenir, gizlenmiş yükleri kodunu çözen ve kurbanları komuta ve kontrol (C2) kimlik avı alanlarına yönlendiren ve potansiyel olarak kimlik hırsızlığı veya kötü amaçlı yazılım dağıtımına yol açan gömülü komut dosyaları yürütür.
Bu saldırıların teknik karmaşıklığı, SVG’nin XML çerçevesinde kötü niyetli mantığı gizleme yeteneğinde yatmaktadır.

Örneğin, rakipler gömülü
Kod çözülmüş bir yük daha sonra window.location = ‘JavaScript:’ + DecoDed_String gibi yapıları kullanabilir; tarayıcı yeniden yönlendirmeyi hxxps: // hju gibi sitelere zorlamak için[.]yxfbynit[.]ES/KORFAEHVFEQZ! BM9.
Bu hedefler genellikle otomatik tarayıcıları filtrelemek için Cloudflare captcha kapılara sahiptir ve bunu Microsoft 365 veya Google Workspace gibi hizmetleri taklit eden hiper gerçekçi kimlik avı sayfaları gelir.
Burada, saldırganlar kimlik bilgilerini gerçek zamanlı olarak yakalarlar ve verileri püskürtmeden önce özgünlüğü sağlamak için meşru API’lere karşı doğrular.
Gelişmiş varyantlarda, yönlendirilen sayfa, keynerloggers veya fidye yazılımları gibi kalıcı tehditler kurmak için tarayıcı güvenlik açıklarından veya sosyal mühendislikten yararlanan ikincil kötü amaçlı yazılımlar için bir damlaçiye hizmet edebilir.
Bu yöntemin etkinliği, vektör grafikleri üzerinde yürütülebilir ikili dosyaları önceliklendiren birçok antivirüs çözümünü ve tipik olarak hiçbir izleyicinin yapılandırılmadığı Windows’ta otomatik tarayıcı işlenmesinden kaynaklanan SVG’lerden kaynaklanmaktadır.
Savunma stratejileri
Bu riskleri azaltmak için kuruluşlar, SVG’lerde XML ve JavaScript’i ayrıştırabilen derin içerik denetim araçlarını içeren katmanlı savunmaları benimsemelidir.
Grup politikaları veya uç nokta yapılandırmaları yoluyla güvenilmeyen dosyalar için otomatik tarayıcı oluşturma işlemini devre dışı bırakma, istenmeyen komut dosyası yürütülmesini önleyebilir.
Çalışan eğitim programları, tanıdık olmayan eklere karşı uyanıklığı vurgulamalı, eşleşmeyen gönderen alanları veya genel dosya adları gibi göstergeleri vurgulamalıdır.
Anormal yönlendirmeler için ağ izleme, olağandışı komut dosyası davranışları ve bilinen kimlik avı C2’lerine trafik daha da güçlendirir.
Siber suçlular bu teknikleri geliştirdikçe, tehdit istihbarat beslemelerini ve davranışsal analizleri güvenlik operasyon merkezlerine entegre etmek zorunlu hale gelir.
SVG’leri sadece görüntü olarak değil, potansiyel kod yürütme vektörleri olarak ele alarak, işletmeler bu gelişen tehdit manzarasını proaktif olarak ele alabilir ve başarılı ihlallerin olasılığını azaltarlar.
Uzlaşma Göstergeleri (IOCS)
Karma değeri |
---|
C78A99A4E6C04AE3C8D49C8351818090 |
F68E33C9310AF3503942E066F8C9ED1 |
2ecce89fa1e5de9f94d038744fc34219 |
6b51979fae37fa27f0ed13e2bcf37e |
4aea855cde4c963016ed36566ae113b7 |
84CA41529259A2CEAAA825403363074538 |
The Ultimate SOC-as-a-Service Pricing Guide for 2025
– Ücretsiz indir