Kimlik avı kampanyaları 2025’te önemli ölçüde gelişti ve tehdit aktörleri güvenlik çözümlerini atlamak için geleneksel olmayan dosya formatlarını giderek daha fazla kullanıyor.
Özellikle ilgili bir eğilim, şüpheli olmayan kullanıcıları kimlik bilgisi web sitelerine yönlendirmek için tasarlanmış kötü amaçlı JavaScript koduyla gömülü olan ölçeklenebilir vektör grafikleri (SVG) dosyalarının silahlandırılmasını içerir.
Bu saldırılar, geleneksel algılama mekanizmalarından kaçarken SVG dosyalarının doğal esnekliğinden yararlanır ve tehdit aktörlerinin kullanıcı gelen kutularına kimlik avı yüklerini başarıyla teslim etmesine izin verir.
.png
)
Yaygın olarak meşru web grafikleri amacıyla kullanılan SVG dosyaları, iki boyutlu grafikler oluşturabilen XML tabanlı formatlardır.
Geleneksel görüntü formatlarından farklı olarak, SVG dosyaları gömülü komut dosyalarını, köprüleri ve etkileşimli öğeleri destekleyerek hem meşru kullanım hem de kötü niyetli sömürü için çok yönlü hale getirir.
Web tasarımı ve pazarlama materyallerinde artan popülaritesi, saldırganların bu formatı sofistike kimlik avı kampanyalarında kötüye kullanma fırsatı yarattı.
Intezer araştırmacıları, 2025 yılının başlarında SVG tabanlı saldırılarda önemli bir artış olduğunu ve bu silahlı dosyaların e-posta korumalarını başarıyla atladığı birden fazla örneği belgeledi.
Analizlerine göre, bu kötü amaçlı SVG dosyaları sıklıkla geleneksel güvenlik çözümlerinden hiçbir uyarıyı tetiklemeyen zararsız e -posta ekleri olarak görünür.
Araştırma ekibi, “SVG dosyalarının esnekliği, birçok güvenlik çözümü SVG dosyalarını gömülü JavaScript açısından derinden incelemediğinden, onları güvenlik filtreleri için ideal bir aday haline getiriyor” dedi.
Saldırı metodolojisi, SVG dosyasının içine, genellikle 64 kodlu JavaScript’in yerleştirilmesini içerir, tipik olarak or Etiketler.
Bir kurban SVG dosyasını açtığında, kodlanmış komut dosyası yürütülür, kendini kodlar ve kullanıcıyı kimlik bilgilerini toplamak için tasarlanmış bir kimlik avı sitesine yönlendirir.
Bu tekniği özellikle etkili kılan şey, statik analiz motorlarından kötü niyetli yükü gizleyen çok katmanlı şaşkınlıktır.
En önemlisi, bu saldırıların tespit kaçırma başarı oranıdır. Belgelenmiş birden fazla vakada, kötü niyetli SVG dosyaları Virustotal’da sıfır tespit aldı ve güvenlik uyarılarını tetiklemeden amaçlanan kurbanlara ulaşmalarını sağladı. Bu algılama boşluğu, mevcut e -posta ve uç nokta güvenlik çözümlerinde önemli bir kör noktayı temsil eder.
Enfeksiyon mekanizması ve gizleme teknikleri
SVG tabanlı saldırıların karmaşıklığı, kodlama ve gizleme tekniklerinde yatmaktadır.
Örnek dosyasını analiz ederken B5A7406D5B4EF47A62B8DD1E4BEC7F18121624395E3A5B750CCC471CBFAD93E, Intezer araştırmacıları, evlilik tespiti için tasarlanan karmaşık çok adımlı bir obfusation paternini keşfettiler.
Kötü niyetli yük, bir IFrame etiketinde Base64 kodlu veriler olarak başlar.
.png)
Gizli JavaScript yükü, sofistike bir kaçırma modeli izlerken:-
var x3="w+z-w+z-w+z-aqxm-6zfqx-09z-73xq-7bzqx-31-0qz-dq6-axq-0z3-exqzxq-7ez-3z9-6cx-b8zxq-ac-f3zx";
x3=x3.replace(/[xqz]/g,"");
var y6="";
var xp=x3.split("-");
for(i=0;iKomut dosyası birden fazla koruma katmanı kullanır: string tersine çevirme, programlı olarak kaldırılan önemsiz karakterlerin stratejik yerleştirilmesi, matematiksel bir formül aracılığıyla onaltılı-ascii dönüşümü ve son olarak, kurbanları kimlik bilgisi-bir kimlik bilgisi sayfasına yönlendiren URL rekonstrüksiyonu.
Bu karmaşık yaklaşım, geleneksel statik analiz araçlarının kötü niyetli davranışı kolayca tanımlayamamasını sağlar.
Bu tehditlere karşı koymak için Intezer, gizleme katmanlarını yapısöküm yapabilen özel analiz araçları geliştirmiştir.
Araştırmaları, alışılmadık dosya formatlarının daha derin inceleme ihtiyacını göstermektedir ve SVG dosyalarının 2025 siber güvenlik ortamında nasıl giderek daha yaygın bir saldırı vektörü haline geldiğini vurgulamaktadır.
Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy