Киберпреступники нашли новый способ обхода систем безопасности почты: фишинговые письма с вредоносными SVG-вложениями. Киберэксперт и инженер-аналитик лаборатории исследований кибербезопасности компании «Газинформсервис» Ирина Дмитриева предупреждает: злоумышленники осуществляют рассылку писем с вложениями формата SVG, в то время как файлы подобного разрешения не проверяется шлюзами безопасности почты на предмет вредоносных вложений. Об этом CNews сообщили представители «Газинформсервис».

«SVG — язык разметки масштабируемой векторной графики. Особенность файлов SVG-формата и подспорье в руках злоумышленников — это вхождение SVG в подмножество расширяемого языка XML. При открытии SVG-файла можно увидеть XML-разметку, которая поддерживает запуск JavaScript и HTML, в отличие от JPEG или PNG», — сказала киберспециалист.

С начала 2025 г. наблюдается рост числа атак с использованием SVG. Злоумышленники маскируют вредоносный HTML-код под SVG-изображения. Например, жертве предлагается «прослушать аудиосообщение» или «проверить электронную подпись». При клике по ссылке пользователь попадает на поддельную страницу входа, стилизованную под Google Voice или Microsoft, где и происходит кража учетных данных.

«Формат файлов SVG позволяет встраивать вредоносные скрипты в изображения, чем активно пользуются злоумышленники. Проводить подобные атаки достаточно просто, поскольку почтовые клиенты и антивирусы не проверяют содержимое SVG-файлов. Использование SVG в качестве контейнера для вредоносного контента может применяться и в более сложных целенаправленных атаках, в сочетаниях с технологиями стеганографии», — сказала Дмитриева.

«Схемы реализации таких атак примитивны — это может быть фишинговая ссылка или скрипт перенаправления на ресурс мошенников. Результат один — кража cookie или данных авторизации, возможно, загрузка ВПО на хост пользователя. В качестве рекомендации важно не открывать SVG-файлы из непроверенных источников, отключить выполнение JS в настройках браузеров и почтовых клиентов, а также проверять код SVG на подозрительные элементы. При отсутствии центра мониторинга в компании, высокую эффективность защиты от неклассических кейсов и расследование инцидентов может обеспечить GSOC компании Газинформсервис», — сказала эксперт.

Короткая ссылка