Tehdit aktörleri sessizce ölçeklenebilir vektör grafikleri (SVG) dosyalarını hassas güdümlü kötü amaçlı yazılımlara dönüştürüyor. Kimlik avı kampanyaları artışında, görünüşte zararsız .svg Ekler Güvenli e -posta ağ geçitlerinden geçer, çünkü posta filtreleri bunları statik görüntüler olarak görür.
Alıcı yalnızca dosyayı önizlediğinde, gizli JavaScript tarayıcının içinde yürütülür ve kurbanları saldırgan altyapısına dönüştüren görünmez bir yönlendirme zincirini tetikler.
.webp)
Cazibe e -postaları minimalisttir – genellikle tek bir simge veya “Kaçırılmış çağrı” teaser – ve zayıf SPF, DKIM veya DMARC icrası olan kuruluşlardan yararlanıyor.
Ekler imzaladığında imza kontrol ettikçe, ilk savunma hattı başarısız olur; OnTinue analistleri, B2B servis sağlayıcılarına ve SaaS satıcılarına gönderilen yakın tanımlı SVG’leri ilişkilendirdikten sonra dalgayı tanımladılar, hepsi her tıklamayı bir iş istasyonuna eşleyen farklı Base64 izleme dizeleri içeriyor.
Hiçbir yürütülebilir bırakılmadığından, uç nokta ajanları yalnızca normal tarayıcı etkinliğini görürken, kimlik bilgileri iyi hazırlanmış Microsoft 365 benzeri portallarda sifonlanır.
.webp)
Kimlik gerçeği hırsızlığının ötesinde, teknik daha geniş bir stratejik pivotu örneklendirir: rakipler, tarayıcıların doğal olarak oluşturduğu dosya formatlarını giderek daha fazla silahlandırır ve kullanıcıları makro veya montajcılar çalıştırmaya ikna etmenin sosyal mühendislik sürtünmesini kaldırır.
Yürütülebilir ürünlere, arşivlere veya komut dosyalarına odaklanan güvenlik kontrolleri, kendilerini bu piksel mükemmel sokmalara kör bulurlar.
Enfeksiyon Mekanizması: Kendi Kendini Kodlama JavaScript Kaçakçılık
Her kötü niyetli SVG, “etiketler arasında gizlenmiş bir yük yerleştirir. On baytlık bir xor anahtarı komut dosyasını maskeler, sinir bozucu statik tarayıcılar, iki aşamalı bir rutin, çalışma zamanındaki yönlendirmeyi yeniden yapılandırır.
İlk olarak, kısa bir fonksiyon şifreli blob boyunca yinelenir ve düz metin döndürür; Sonra kullanır Function Bu kodu tamamen bellekte yürütecek yapıcı.
Yeniden canlandırılan senaryo bir atob()-Generasyondan önce kurbana özgü bir jetonla kodlanmış alan adı:-
window.location.href = atob(
'aHR0cHM6Ly93dnJ6LmxmdGt2b2cubmV0L...' // domain rotates daily
) + token;Diske hiçbir şey yazılmadığından, kalıcılık ilgisizdir ve coğrafi işleme mantığı, hedef bölgenin dışındaki kum alanlarının iyi huylu sayfalar almasını sağlar.
Bu nedenle tehdidi tespit etmek, görüntü dosyaları içindeki komut dosyası etiketlerini bayrak eden derin içerik incelemesine bağlı veya olağandışı bir şekilde ilişkilendirme .svg E-posta telemetrisi ile komut satırı çağrıları.
Bu tür kontroller olgunlaşana kadar, kuruluşlar istenmeyen SVG’leri karantinaya almalı, içerik silahsızlandırma ve yeniden yapılanma sağlamalı ve DMARC politikalarını izlemeden reddedmelidir.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi bir deneyin.