Οι φορείς απειλών χρησιμοποιούν όλο και περισσότερο συνημμένα Scalable Vector Graphics (SVG) για να εμφανίσουν φόρμες ηλεκτρονικού ψαρέματος ή να αναπτύξουν κακόβουλο λογισμικό ενώ αποφεύγουν τον εντοπισμό.
Οι περισσότερες εικόνες στον Ιστό είναι αρχεία JPG ή PNG, τα οποία αποτελούνται από πλέγματα μικροσκοπικών τετραγώνων που ονομάζονται pixel. Κάθε pixel έχει μια συγκεκριμένη τιμή χρώματος και μαζί, αυτά τα pixel σχηματίζουν ολόκληρη την εικόνα.
Το SVG ή Scalable Vector Graphics εμφανίζει τις εικόνες διαφορετικά, καθώς αντί να χρησιμοποιούνται pixel, οι εικόνες δημιουργούνται μέσω γραμμών, σχημάτων και κειμένου που περιγράφονται σε μαθηματικούς τύπους κειμένου στον κώδικα.
Για παράδειγμα, το ακόλουθο κείμενο θα δημιουργήσει ένα ορθογώνιο, έναν κύκλο, έναν σύνδεσμο και κάποιο κείμενο:
Όταν ανοίξει σε ένα πρόγραμμα περιήγησης, το αρχείο θα δημιουργήσει τα γραφικά που περιγράφονται στο παραπάνω κείμενο.
Πηγή: BleepingComputer
Καθώς πρόκειται για διανυσματικές εικόνες, αλλάζουν αυτόματα το μέγεθός τους χωρίς απώλεια στην ποιότητα ή το σχήμα της εικόνας, καθιστώντας τις ιδανικές για χρήση σε εφαρμογές προγράμματος περιήγησης που μπορεί να έχουν διαφορετικές αναλύσεις.
Χρήση συνημμένων SVG για αποφυγή εντοπισμού
Η χρήση συνημμένων SVG σε καμπάνιες phishing δεν είναι κάτι καινούργιο, καθώς το BleepingComputer αναφέρει τη χρήση τους σε προηγούμενες καμπάνιες κακόβουλου λογισμικού Qbot και ως τρόπο απόκρυψης κακόβουλων σεναρίων.
Ωστόσο, οι φορείς απειλών χρησιμοποιούν όλο και περισσότερο αρχεία SVG στις εκστρατείες ηλεκτρονικού ψαρέματος, σύμφωνα με τον ερευνητή ασφάλειας MalwareHunterTeamο οποίος μοιράστηκε πρόσφατα δείγματα [1, 2] με BleepingComputer.
Αυτά τα δείγματα, και άλλα που είδαν το BleepingComputer, δείχνουν πόσο ευέλικτα μπορούν να είναι τα συνημμένα SVG, καθώς όχι μόνο σας επιτρέπουν να εμφανίζετε γραφικά αλλά μπορούν επίσης να χρησιμοποιηθούν για την εμφάνιση HTML, χρησιμοποιώντας το
Αυτό επιτρέπει στους φορείς απειλών να δημιουργούν συνημμένα SVG που όχι μόνο εμφανίζουν εικόνες αλλά δημιουργούν και φόρμες ηλεκτρονικού ψαρέματος για να κλέψουν διαπιστευτήρια.
Όπως φαίνεται παρακάτω, ένα πρόσφατο συνημμένο SVG [VirusTotal] εμφανίζει ένα ψεύτικο υπολογιστικό φύλλο Excel με μια ενσωματωμένη φόρμα σύνδεσης, το οποίο όταν υποβάλλεται, στέλνει τα δεδομένα στους παράγοντες απειλών.
Πηγή: BleepingComputer
Άλλα συνημμένα SVG που χρησιμοποιούνται σε μια πρόσφατη καμπάνια [VirusTotal] προσποιούνται ότι είναι επίσημα έγγραφα ή αιτήματα για περισσότερες πληροφορίες, προτρέποντάς σας να κάνετε κλικ στο κουμπί λήψης, το οποίο στη συνέχεια κατεβάζει κακόβουλο λογισμικό από έναν απομακρυσμένο ιστότοπο.
Πηγή: BleepingComputer
Άλλες καμπάνιες χρησιμοποιούν συνημμένα SVG και ενσωματωμένη JavaScript για να ανακατευθύνουν αυτόματα τα προγράμματα περιήγησης σε ιστότοπους που φιλοξενούν φόρμες phishing όταν ανοίγει η εικόνα.
Το πρόβλημα είναι ότι εφόσον αυτά τα αρχεία είναι ως επί το πλείστον απλώς αναπαραστάσεις κειμένου εικόνων, τείνουν να μην εντοπίζονται τόσο συχνά από το λογισμικό ασφαλείας. Από δείγματα που είδαν το BleepingComputer και ανέβηκαν στο VirusTotal, το πολύ, έχουν μία ή δύο ανιχνεύσεις από λογισμικό ασφαλείας.
Τούτου λεχθέντος, η λήψη συνημμένου SVG δεν είναι συνηθισμένη για τα νόμιμα μηνύματα ηλεκτρονικού ταχυδρομείου και θα πρέπει να αντιμετωπίζεται αμέσως με καχυποψία.
Αν δεν είστε προγραμματιστής και περιμένετε να λάβετε τέτοιου είδους συνημμένα, είναι ασφαλέστερο να διαγράψετε τυχόν μηνύματα ηλεκτρονικού ταχυδρομείου που τα περιέχουν.
VIA: bleepingcomputer.com
