Geçmişte kimlik avı ve tıklama kampanyaları için SVG dosyaları kullanarak siber suçlular hakkında yazdık. Kimlik avında yer alan bir SVG’nin yeni, oldukça sofistike bir örneği bulduk.
Daha önceki yayınları kaçıran okuyucular için, SVG dosyaları her zaman görüntü dosyaları değildir. XML (genişletilebilir işaretleme dili) ile yazıldıkları için, siber suçluların kötü niyetli amaçlar için sömürebileceği HTML ve JavaScript kodu içerebilirler.
Kimlikçiler için bir diğer avantaj, bir Windows bilgisayarında, varsayılan tarayıcınızın ne olduğuna bakılmaksızın SVG dosyalarının Microsoft Edge tarafından açılmasıdır. Çoğu insan Chrome gibi farklı bir tarayıcı kullanmayı tercih ettiği için, reklam blokerleri ve web filtreleri gibi koruma ekleme söz konusu olduğunda Edge genellikle göz ardı edilebilir.
Bulduğumuz kötü amaçlı SVG, bir kimlik avı sitesine hedef göndermek için oldukça sıra dışı bir yöntem kullanıyor.
İçeri RECElPT.SVG Kodun kötü niyetli niyetlerini gizlemek için yaratıcı kılık değiştiren çok sayıda yiyecek/reçete ile ilgili isim (“Menüaşım”, “Makinekler”, “Saladbowl” vb.) İçeren bir senaryo bulduk.
Bu kodun, kimlikçilerin bir yönlendirmeyi sakladığı kısmıdır:
Yakın incelemede, yenilebilir bir tarif yanılsaması hızla kaybolur. 141 bardak yumurta, kimse var mı?
Ancak kodu birbirinden ayırarak, kod çözücünün şöyle çalıştığını fark ettik:
- Verilen metinde veri kullanıcıları = ”…” arayın.
- Bir liste almak için dizeyi virgülle öznitelik içine bölün. Örneğin, 219cups_flour, 205tbsp_eggs,…
- Her öğe için, önde gelen sayısal değeri çıkarın (örn. 219cups_flour’dan 219).
- 100’i bu değerden çıkarın.
- Sonuç bir ASCII yazdırılabilir karakter ise (32-126 arasında değişiyor), o numarayla karaktere dönüştürün.
- Son kod çözülmüş dizeyi oluşturmak için tüm karakterleri birlikte birleştirin.
Bu yöntemi kullanarak ulaştığımız window.location.replace("https://outuer.devconptytld[.]com.au/");
window.location.replace Geçerli kaynağı sağlanan URL’deki ile değiştiren bir JavaScript yöntemidir. Başka bir deyişle, SVG dosyasını açarsa hedefi o konuma yönlendirir.
Yeniden yönlendirildiğinde, kullanıcı temel olarak sunucunun gerçek konumunu Cloudflare hizmetlerinin arkasındaki gerçek konumunu gizlemeyi amaçlayan, ancak aynı zamanda ziyaretçi için bir miktar meşruiyet duygusu sağlar.
Kullanıcının burada ne yaptığı önemli değil, E parametresini (hedefin e -posta adresi) bir sonraki hedefe geçiren kodla tekrar iletilecek.
Ama burada maceramız sona erdi. Bizim için bir sonraki site boştu.
Kimlik avı seferinin bir sonraki aşamasına ulaşmak için hangi koşulların karşılanması gerektiğini belirleyemedik. Ancak, hedefin kullanıcı adını ve şifresini yakalamak için sahte bir giriş formu (neredeyse kesinlikle Microsoft 365- veya Outlook temalı) görüntülemesi muhtemeldir.
Microsoft, AI yardımı ile açıkça gizlenmiş ve ilk bakışta daha da meşru görünen benzer bir kampanyayı işaretledi.
Bu kampanya hakkında paylaşmak istediğimiz bazı açıklamalar:
- SVG dosyasının 26 Ağustos 2025’e kadar uzanan çeşitli sürümlerini bulduk.
- Saldırılar, hedefin SVG dosyasına gömülü e -posta adresi ile çok hedeflenir.
- Kimlik avı alanı, meşru devConptyltd.com.au için bir yazım hatası olabilir, bu nedenle hedeflerin bu alan adına sahip olan Devcon Pty Ltd ile iş yaptığı anlamına gelebilir. Bu, iş e -posta uzlaşma (BEC) saldırılarında sık sık gördüğümüz bir taktiktir.
- DevConptytld’in birkaç alt alanını bulduk[.]Com.au Bu kampanyayla ilişkili. Alanın TLS sertifikası 24 Ağustos 2025’e kadar uzanır ve 3 ay boyunca geçerlidir.
SVG kimlik avı saldırılarından nasıl korunur
SVG dosyaları almak için nadir görülen bir ektir, bu nedenle şu unutmak iyidir:
- Her zaman “adil” görüntü dosyaları değildir.
- Birkaç kimlik avı ve kötü amaçlı yazılım kampanyası SVG dosyalarını kullanır, bu nedenle diğer eklerle aynı tedaviyi hak ederler: Güvenilir gönderen size bir göndermeyi onaylayana kadar açmayın.
- Her zaman kimlik bilgileri isteyen bir web sitesinin adresini kontrol edin. Veya bir şifre yöneticisi kullanın, bilgilerinizi sahte bir web sitesinde otomatik olarak doldurmazlar.
- Tercihen bir web koruma bileşeniyle gerçek zamanlı kötü amaçlı yazılım önleme koruması kullanın. Malwarebytes bu kampanyayla ilişkili alanları engeller.
- Şüpheli ekleri algılayabilen ve karantinaya sahip olabilen bir e -posta güvenlik çözümü kullanın.
Sadece tehditler hakkında rapor vermiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir başlığın ötesine yayılmamalıdır. Bugün MalwareBebytes’i indirerek tehditleri cihazlarınızdan uzak tutun.