Siber suçlular, sofistike kimlik avı kampanyalarını düzenlemek için gittikçe silahlandırılabilir ölçeklenebilir vektör grafikleri (SVG) dosyalarıdır.
Küresel olarak işletmeler için milyonlarca uyarıyı tetikleyen bir siber güvenlik firması olan Intenzer’den yapılan araştırmalara göre, saldırganlar, şüphesiz kullanıcıları kimlik bilgisi olan kimlik avı sitelerine yönlendirmek için SVG dosyalarına kötü niyetli JavaScript’i yerleştiriyor.
“Gölgelerde Script” olarak adlandırılan bu tekniğin, modern e -posta güvenlik filtrelerini ve kurbanların tespit edilmemiş gelen kutularına ulaşmak için uç nokta korumalarını atlayarak endişe verici bir şekilde etkili olduğunu kanıtladı.
.png
)
İki boyutlu grafikler oluşturmak için XML tabanlı bir format olan SVG’nin kötüye kullanılması, görünüşte zararsız bir görüntü dosyasını güçlü bir saldırı vektörüne dönüştürerek komut dosyalarını ve etkileşimli öğeleri barındırma yeteneğinden yararlanır.
Gizli saldırı mekanizmasını kodlamak
Bu kimlik avı yönteminin karmaşıklığı, güvenlik tarayıcıları tarafından statik analizden kaçmak için tasarlanmış çok katmanlı gizlemesinde yatmaktadır.
Intezer’in analizi, tehdit aktörlerinin SVG dosyalarında Base64’te kötü niyetli JavaScript’i kodladığını ortaya koydu. Etiketler.
Kod çözüldükten sonra, komut dosyası, dize tersine çevirme, önemsiz karakter yerleştirme ve onaltılık-ASCI-dönüşüm gibi teknikleri kullanan ağır bir şekilde gizlenmiş bir yükü ortaya çıkarır.
Bu adımlar, desen eşleştirme algoritmalarını ve düzenli ekspresyon tabanlı tarayıcıları bozarak tespiti karmaşıklaştırır.
Son aşama, kurbanı bir kimlik avı sayfasına yönlendirerek kötü amaçlı bir URL’yi yeniden inşa eder. window.location.href.
Rapora göre, Intezer’in araştırmasından gelen çarpıcı bir bulgu, Virustotal’ın başlangıçta böyle bir SVG dosyasını işaretlediği idi (IOC: B5A7406D5B47A6216243395E3A5B750CCCC471cbfad93e) ‘de Güvenli Güvenli Güvenli Güvenlik Güvenliği Güvence Güvence aletler.
Bu kaçırma, meşru amaçlar için yaygın olarak kullanılan SVG dosyalarının neden gömülü komut dosyaları için derin incelemeye maruz kaldığını ve bunları gizli saldırılar için ideal bir araç haline getirdiğini vurgulamaktadır.
Intezer’in araştırma ekibi, bu tekniği incelemek için özel bir araç geliştirdi ve SVG dosyası içindeki Base64 kodlu JavaScript’in statik tespitten kaçınmak için titizlikle hazırlandığını doğruladı.
Daha geniş ima, siber güvenlik savunmalarında gelişmiş, formata duyarlı denetim mekanizmalarına artan bir ihtiyaçtır.
Geleneksel imza bazlı veya yüzey seviyesi taraması, burada kullanılan yapısal gizlemeyi ele almaz, burada kötü niyetli niyet sadece kod çözme veya yürütme üzerine yüzeylerdir.
Kimlik avı aktörleri SVG gibi alışılmadık dosya formatlarının güven ve esnekliğinden yararlanırken, kuruluşlar bu tür tehditlere karşı koymak için dinamik analize ve daha derin içerik ayrıştırmasına öncelik vermelidir.
Intezer, bunun teorik bir istismar değil, e-posta ağ geçitlerini aktif olarak atlayarak güvenlik topluluğunu bu gelişen aldatma stratejilerine hızla uyum sağlamaya çağıran gerçek dünyadaki bir taktik olduğu konusunda uyarıyor.
İnsan psikolojisi ve teknik inovasyonun körüklediği kimlik avı kalıcılığı, güvenilir teknolojilerin gölgesinde çalışan rakiplerin önünde kalmak için araştırma işbirliğini, gelişmiş araçları ve farkındalığı birleştiren proaktif bir duruş gerektirir.
Uzlaşma Göstergeleri (IOC)
| Gösterge Türü | Değer |
|---|---|
| Sha256 karma | B5a7406d5b4ef47a62b8dd1e4bec7f1812162433955a5b750cc471cbfad93e |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!