Tehdit aktörleri, kimlik avı formlarını görüntülemek veya algılamadan kaçınırken kötü amaçlı yazılım dağıtmak için ölçeklenebilir vektör grafikleri (SVG) eklerini giderek daha fazla kullanırlar.
Web'deki çoğu resim, piksel adı verilen küçük karelerin ızgaralarından yapılmış JPG veya PNG dosyalarıdır. Her pikselin belirli bir renk değeri vardır ve birlikte bu pikseller tüm görüntüyü oluşturur.
SVG veya ölçeklenebilir vektör grafikleri, görüntüler piksel kullanmak yerine farklı şekilde görüntüler, görüntüler koddaki metinsel matematiksel formüllerde açıklanan çizgiler, şekiller ve metinle oluşturulur.
Örneğin, aşağıdaki metin bir dikdörtgen, bir daire, bir bağlantı ve bazı metinler oluşturur:
Bir tarayıcıda açıldığında, dosya yukarıdaki metin tarafından açıklanan grafikleri oluşturur.
Bunlar vektör görüntüleri olduğundan, görüntü kalitesi veya şekli için herhangi bir kayıp kaybetmeden otomatik olarak yeniden boyutlandırılırlar, bu da onları farklı çözünürlüklere sahip olabilecek tarayıcı uygulamalarında kullanım için ideal hale getirir.
Kimlik avı kampanyalarında SVG eklerinin kullanılması yeni bir şey değildir, BleepingComputer önceki QBOT kötü amaçlı yazılım kampanyalarında kullanımlarını ve kötü amaçlı komut dosyalarını gizlemenin bir yolu olarak rapor eder.
Bununla birlikte, tehdit aktörleri, son örnekleri [1, 2] BleepingComputer ile paylaşan güvenlik araştırmacısı MalwareHunterTeam'e göre, kimlik avı kampanyalarında SVG dosyalarını giderek daha fazla kullanıyor.
Bu numuneler ve BleepingComputer tarafından görülen diğerleri, çok yönlü SVG eklerinin sadece grafikleri görüntülemenize izin vermekle kalmayıp aynı zamanda HTML'yi görüntülemek, öğeyi kullanmak ve grafik yüklendiğinde JavaScript'i yürütmek için de kullanılabileceğini gösterir.
Bu, tehdit aktörlerinin sadece görüntüleri görüntülemekle kalmayıp aynı zamanda kimlik bilgilerini çalmak için kimlik avı formları oluşturan SVG ekleri oluşturmalarını sağlar.
Aşağıda gösterildiği gibi, yakın tarihli bir SVG eki [Virustotal] yerleşik bir oturum açma formuna sahip sahte bir Excel e-tablosu görüntüler, gönderildiğinde verileri tehdit aktörlerine gönderir.
Yakın tarihli bir kampanyada kullanılan diğer SVG ekleri [Virustotal] resmi belgeler veya daha fazla bilgi talepleri gibi davranarak indirme düğmesini tıklamanızı isteyen ve daha sonra uzak bir siteden kötü amaçlı yazılım indirir.
Diğer kampanyalar, görüntü açıldığında tarayıcıları otomatik olarak kimlik avı formlarını barındıran sitelere yönlendirmek için SVG eklerini ve gömülü JavaScript'i kullanır.
Sorun şu ki, bu dosyalar çoğunlukla sadece görüntülerin metinsel temsilleri olduğundan, güvenlik yazılımı tarafından sık sık tespit edilmeme eğilimindedirler. BleepingComputer tarafından görülen ve Virustotal'a yüklenen numunelerden, en fazla güvenlik yazılımı tarafından bir veya iki tespiti vardır.
Bununla birlikte, bir SVG eki almak meşru e -postalar için yaygın değildir ve hemen şüphe ile ele alınmalıdır.
Bir geliştirici değilseniz ve bu tür ekleri almayı beklemediğiniz sürece, bunları içeren e -postaları silmek daha güvenlidir.
Bumblebee kötü amaçlı yazılım, son kolluk kuvvetlerinden sonra geri döner
ESET ortağı İsrail Orgs'a veri silecekleri göndermek için ihlal etti
Akıllı yazılımları zorlamak için depoları kötüye kullanan zeki 'GitHub Scanner' kampanyası
Botnet Mirai Kötü Yazılımları Yüklemek İçin Geovision Sıfır Gününden Serbest Yazılıyor
Sahtekarlık Ağı Kredi Kartlarını Çalmak İçin 4.700 Sahte Alışveriş Sitesi Kullanıyor
Kaynak: Bleeping Computer