Поделиться
Векторная атака: «Лаборатория Касперского» предупреждает о фишинговой схеме с использованием SVG-файлов
Эксперты «Лаборатории Касперского» обнаружили почтовые фишинговые рассылки, нацеленные на частных пользователей и компании, с вложениями в виде файлов SVG. Цель злоумышленников — украсть учетные данные потенциальных жертв от сервисов Google и Microsoft. По данным компании, в марте 2025 г. число всех фишинговых атак с использованием SVG-файлов увеличилось почти в шесть раз по сравнению с февралем 2025 г. С начала 2025 г. по всему миру было обнаружено более 4 тыс. таких писем (данные на основе срабатывания решений «Лаборатории Касперского» с 1 января по 15 апреля 2025 г.). Об этом CNews сообщили представители «Лаборатории Касперского».
SVG (Scalable Vector Graphics) — это формат для описания двумерной векторной графики с помощью языка разметки XML. В отличие от форматов JPEG или PNG, SVG поддерживает JavaScript и HTML. Это облегчает дизайнерам работу с неграфическим контентом, таким как текст, формулы и интерактивные элементы. Однако злоумышленники используют SVG в своих интересах, встраивая в такие файлы скрипты с ссылками на фишинговые страницы.
Как устроена атака. Файл SVG, который рассылают злоумышленники, — это, по сути, HTML-страница без описания графики. При открытии в браузере этот файл отображается как веб-страница со ссылкой, якобы ведущей на некий аудиофайл.
Если человек нажмет кнопку «Прослушать», то перед ним откроется фишинговая страница, которая имитирует аудиозапись Google Voice. На самом деле звуковая дорожка — это статичное изображение. При попытке воспроизвести аудио открывается фишинговая страница, мимикрирующая под окно для входа в почту. Если ввести на ней логин и пароль, их получат злоумышленники.
В некоторых фишинговых письмах вложение в формате SVG представлено как документ, требующий проверки и подписи. В этом случае в SVG-файл вставлен JS-скрипт, который при попытке открыть файл открывает в браузере фишинговый ресурс, имитирующий форму авторизации в сервисах Microsoft. В остальном схема такая же: на этой поддельной странице от пользователя требуется ввести учетные данные.
«Фишеры постоянно совершенствуют свои инструменты. Они экспериментируют с различными форматами вложений. В настоящее время схемы с использованием SVG-файлов технически устроены относительно просто: файлы содержат либо, собственно, фишинговую страницу, либо скрипт перенаправления на такую страницу. Но в дальнейшем такая техника потенциально может быть использована и в более сложных целевых атаках», — сказал Роман Деденок, эксперт по кибербезопасности в «Лаборатории Касперского».
Чтобы снизить киберриски, в «Лаборатории Касперского» рекомендуют: не переходить по ссылкам и не открывать файлы из сомнительных писем; если отправитель легитимен, но содержание сообщения кажется странным, лучше связаться с ним другим способом и уточнить, точно ли он отправлял такое письмо; проверять написание URL-адреса сайта, прежде чем вводить на нем конфиденциальные данные; использовать надежные защитные решения, эффективность которых доказана независимыми тестами.
Поделиться
Короткая ссылка
