Siber güvenlik uzmanları, şüpheli kurbanlara kötü niyetli HTML içeriği sunmak için SVG (Ölçeklenebilir Vektör Grafikleri) dosya biçimini kullanan sofistike yeni bir kimlik avı tekniği belirlediler.
İlk olarak 2025’in başında gözlemlenen bu ortaya çıkan tehdit, saldırganlar güvenlik önlemlerini atlamak ve kullanıcıları hassas bilgileri ortaya çıkarmak için kandırmak için SVG dosyalarının ikili doğasını kullandıkça kimlik avı taktiklerinde dikkate değer bir evrimi temsil ediyor.
.webp)
JPEG veya PNG gibi geleneksel görüntü formatlarının aksine, SVG dosyaları JavaScript ve HTML kodunun gömülmesini destekleyen XML işaretlemesini kullanır.
.png
)
.webp)
Normalde etkileşimli grafik unsurları etkinleştirmeyi amaçlayan bu meşru özellik, kimlik avı sayfalarını veya yeniden yönlendirme komut dosyalarını doğrudan zararsız bir görüntü eki gibi görünen kötü amaçlı aktörler tarafından kullanılan bir güvenlik açığı haline gelmiştir.
.webp)
Saldırı vektörü tipik olarak zararsız bir şey olarak gizlenmiş bir SVG eki içeren bir e -posta ile başlar – genellikle imza gerektiren bir ses kaydı veya belge.
Açıldığında, bu dosyalar, aldatıcı içeriğe sahip bir HTML sayfası görüntüleyen veya kurbanları Google Voice veya Microsoft Giriş Portalları gibi meşru hizmetleri taklit eden gelişmiş kimlik avı sitelerine yönlendirmek için JavaScript kullanarak gömülü kodlarını yürütür.
Securelist araştırmacılar, Mart 2025’te bu saldırı metodolojisinde önemli bir artış tespit ettiler ve sadece ilk çeyrekte SVG eklerini kullanan 2.825 kötü niyetli e -postayı belgeledi.
Artış eğilimi Nisan ayına kadar devam etti ve ayın sadece ilk yarısında 1.324 olay kaydedildi – Saldırı Saldırganları bu tekniği mevcut güvenlik önlemlerine karşı giderek daha etkili buluyor.
Enfeksiyon mekanizması analizi
Bu saldırıların teknik icrası aldatıcı bir sadelik sergilemektedir. Bir metin düzenleyicisinde kötü niyetli bir SVG dosyasını incelerken, güvenlik araştırmacıları, birçok kişinin minimal vektör grafik kodu içerdiğini, bunun yerine tam HTML belgelerini veya JavaScript yeniden yönlendirme işlevlerini barındırdığını keşfetti.
Yakalanan bir örnek, saldırganların yürütülebilir kodu standart SVG yapısına nasıl yerleştirdiğini göstermektedir:-
String.fromCharCode(HicRzF.charCodeAt(0) + (HiCRzF...
]]>Bu komut dosyası yüklü SVG, bir web tarayıcısında açıldığında hemen yürütülür ve tamamen dosya içinde bulunan ikna edici bir kimlik avı sayfası oluşturur veya kimlik bilgilerinin toplandığı harici bir kötü amaçlı alana bağlantı başlatır.
Teknik özellikle etkilidir, çünkü dosya “.svg” uzantısını korur ve e -posta başlıklarında bir görüntü/SVG+XML içerik türü olarak işaretlenir ve öncelikle yürütülebilir formatları ve geleneksel HTML eklerini engelleyen birçok bağlantı filtreleme sisteminden kaçmasına izin verir.
Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy