Siber suçlular, görünüşte zararsız görüntü dosyalarını Windows sistemlerinde kötü amaçlı JavaScript yürütebilen güçlü kimlik avı silahlarına dönüştürerek ölçeklenebilir vektör grafikleri (SVG) dosyalarını sofistike saldırı vektörleri olarak kullanmaya başladı.
Bu ortaya çıkan tehdit, varsayılan web tarayıcılarında açıldığında kötü amaçlı komut dosyaları gömmek ve yürütmek için SVG dosyalarının XML tabanlı yapısını, genellikle geleneksel yürütülebilir dosyalara odaklanan geleneksel güvenlik önlemlerini atlayarak kullanır.
Piksel verilerini depolayan JPEG veya PNG gibi standart görüntü formatlarının aksine, SVG dosyaları vektör yollarını, şekilleri ve metin öğelerini tanımlamak için XML tabanlı kodu kullanır.
Bu temel fark, saldırganların JavaScript kodunu dosya yapısına yerleştirme fırsatı yaratır ve SVG dosyası bir tarayıcıda açıldığında otomatik olarak yürütülür.
Saldırı öncelikle SVG dosyalarının varsayılan web tarayıcılarında başlatıldığı Windows sistemlerini hedefler ve dosyayı açmanın ötesinde kullanıcı müdahalesi olmadan anında komut dosyası yürütülmesini sağlar.
Seqrite güvenlik araştırmacıları, bu tekniği kullanan sofistike bir kampanya belirlediler, kötü niyetli SVG dosyalarını dağıtan saldırganların, “planlanan etkinliğiniz için hatırlatma” ve “yaklaşan toplantı.svg” veya “-do-llist.svg” adlı ataşmanlar gibi aldatıcı konu satırlarıyla mızrak aktı e-postaları aracılığıyla gözlemlediler.
.webp)
Kampanya ayrıca, e -posta güvenlik filtrelerinden kaçarken kötü amaçlı dosyalar dağıtmak için Dropbox, Google Drive ve OneDrive dahil bulut depolama platformlarını kullanıyor.
Saldırı, olguyu korumak ve geleneksel güvenlik çözümleri tarafından tespit etmekten kaçınmak için tehdit aktörlerinin çoklu kaçırma tekniklerinden yararlandığı dikkate değer teknik karmaşıklık gösteriyor.
Teknik enfeksiyon mekanizması ve kod gizlemesi
Kötü niyetli SVG dosyaları, temel içerik tarayıcılarından kötü niyetli mantığı gizlemek için CDATA bölümleri içindeki etiketler içerir. Güvenlik araştırmacıları, saldırganların yük yükü için kısa bir xor anahtarı (q) ile eşleştirilmiş bir onaltılık dize değişkeni (y) kullandığını keşfetti.
İşlendiğinde, bu kodlanmış veriler, kullanan yürütülebilir JavaScript’e şifresini çözer window.location = 'javascript:' + v; Sözdizimi kurbanları kimlik avı sitelerine yönlendirmek için.
Başarılı şifre çözme üzerine, yük kullanıcıları komut ve kontrol altyapısına, özellikle de yönlendirir hxxps://hju[.]yxfbynit[.]es/koRfAEHVFeQZ!bM9kimlik bilgisi hasat için tasarlanmış ikna edici ofis 365 giriş formlarını sunmadan önce Cloudflare captcha kapılarını kullanan.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın