Yeni bir siber saldırı biçimi artıyor, bilgisayar korsanları şimdi geleneksel savunmaları geçmişte kötü niyetli kodu gizlemek için görünüşte zararsız ölçeklenebilir vektör grafikleri (SVG) görüntü dosyalarını kullanıyor, OnTinue Advanced Tehdit Operasyonları ekibinin son araştırmalarını ortaya koyuyor.
Araştırmacılar tarafından “SVG kaçakçılığı” olarak adlandırılan bu teknik, kullanıcıları bilgi olmadan saldırgan kontrollü web sitelerine yönlendirmek için bu tipik iyi huylu görüntü dosyalarını silahlandırıyor. Hackread.com ile paylaşılan OnTinue’un bulguları, öncelikle yüksek e -posta hacimleri nedeniyle sık sık duyarlı olan hassas kurumsal verileri (finansal ve çalışan bilgileri gibi), kamu hizmetleri ve SaaS sağlayıcılarını ele alan firmalar da dahil olmak üzere B2B servis sağlayıcılarına yönelik bu hedeflenen saldırıları vurgulamaktadır.
Kimlik avı
Saldırı, “Todolist”, “Kaçırılmış Çağrı” veya “Ödeme” bildirimleri gibi siber suçlular tarafından hazırlanan aldatıcı e -postalarla başlar. Bunlar, güvenilir kaynaklardan veya bireylerden gelen, SPF (Gönderen İlkesi Çerçevesi), DKIM (DomainKeys Tanımlı Posta Tanımlı Posta) ve DMARC (Domain Tabanlı Mesaj Kimlik Doğrulaması, Raporlama ve Uyum) gibi zayıf veya eksik güvenlik önlemlerinden yararlanan son derece ikna edici kimlik avı e-postalarıdır.
Bunların hepsi, bir e -postanın meşru olduğunu ve sahte olmadığını doğrulamak için tasarlanmış e -posta kimlik doğrulama yöntemleridir. Bazen, saldırganlar kullanıcıları kandırmak için benzeyen alan adlarını – meşru olanlara çok benzeyen web adresleri bile kullanırlar.
Kötü amaçlı SVG dosyası doğrudan e -postaya eklenebilir veya harici bir görüntü olarak bağlanabilir. E -postaların kendileri şüpheden kaçınmak için genellikle çok basit tutulur ve alıcıyı SVG’yi açmaya teşvik eder, bu da daha sonra gizli komut dosyasını tetikler.
Saldırı Detayları
Saldırganlar, kötü niyetli altyapılarını barındırmak için rastgele alt alanlara sahip geçici, düşük geri alınma alanları kullanırlar, bu da onları izlemelerini ve engellemelerini zorlaştırır. Bu gelişen tehdit, SVG dosyalarına gizli, gizlenmiş JavaScript kodunun yerleştirilmesini içerir, genellikle bölümler. Bir kullanıcı bir web tarayıcısında böyle bir SVG’yi açtığında veya önizlediğinde, gizli komut dosyası sessizce çalışır.
Bu komut dosyası, yükünü şifresini çözmek için statik bir xor tuşunu kullanarak, daha sonra yerleşik tarayıcı işlevlerini kullanır. window.location.href (geçerli web sayfası adresini değiştiren) ve kurbanı sahtekarlık bir siteye göndermek için atob () (çırpılmış verileri çözen). Son yönlendirme URL’si genellikle kurban izleme veya korelasyon için kullanılan Base64 kodlu dizeleri içerir.
SVG kaçakçılığına karşı koruma
Güvenlik uzmanlarına göre, bu teknik görüntülerde zararlı kodu gizleyerek birçok yaygın aracı atlar. Karşıt olarak, kuruluşlar güvenli bağlantılar, güvenli ekler, aksisiz avlama politikaları ve sıfır saatlik otomatik temizleme (ZAP) gibi Microsoft Defender özelliklerini etkinleştirmelidir. E -posta güvenliğini DMARC, SPF/DKIM hizalaması, SVG eklerini engelleme veya içerik silahsızlandırma ile güçlendirmek hayati önem taşır. SVG riskleri ile ilgili benzer alanların ve kullanıcı eğitiminin izlenmesi de korunmak için kritik adımlardır.
“Bu, şüpheli içerik sunmak için görüntü dosyalarını kullanma tekniğinde, bu durumda kötü niyetli PDF’ler. Saldırganlar, kuruluşları bu içeriği kabul etmek ve bir ağın içine almak için işgal etmek için gönül rahatlığına (“sadece bir görüntü, kod yürütmez”) güvenmek zorundadır.“ dedi John Bambenek, Bambenek Consulting Başkanı.
“Bu rapor ve araştırma işletmeler için değerli olmakla birlikte, arama av ekipleri için değerlidir, güvenlik personeli olmayan veya son tüketiciler bu teknikle geleneksel siber suçlara karşı savunmasız kalacaktır.“ Ekledi.