Kompanija Ontinue upozorava na novu kampanju fišinga u kojoj se koristi format Scalable Vector Graphics (SVG) za napade redirekcije koji izbjegavaju tradicionalnu detekciju.
Iako se SVG fajlovi smatraju bezopasnim formatom slika, oni mogu sadržavati ugrađene skripte, a hakeri to zloupotrebljavaju kako bi ubacili zakriveni JavaScript kod koji tokom izvršavanja u pregledaču uzrokuje redirekciju.
Maliciozni kod se krije unutar CDATA sekcije SVG fajla i oslanja se na statični XOR ključ kako bi dešifrovao sadržaj u toku izvršavanja. Dešifrovani kod potom rekonstruiše naredbu za redirekciju i generiše URL odredišta koji takođe uključuje funkcionalnost za praćenje.
„JavaScript se izvršava bez potrebe za preuzimanjem fajlova ili makroima, a dodatna izbjegavanja detekcije postignuta su distribucijom payload-a putem lažiranih mejlova koji mogu proći osnovne anti-spam filtere“, navodi Ontinue.
Maliciozni SVG fajlovi dostavljaju se putem fišing mejlova koji koriste domene sa slabim ili pogrešno konfigurisanim DKIM, DMARC i SPF zapisima, što napadačima omogućava da se predstave kao legitimni pošiljaoci. U nekim slučajevima, korišćeni su domeni koji imitiraju nazive legitimnih entiteta.
Poruke su obično stizale u inboxe bez DKIM zapisa i DMARC politika. Posmatrani mejlovi su minimalistički, sa samo nekoliko redova u tijelu poruke, uz instrukciju da se slika pregleda u pregledaču. SVG fajl se dostavlja kao prilog ili je hostovan eksterno, a link ka njemu je uključen u poruku.
U okviru kampanje, napadači su koristili domene sa nasumičnim ili poddomen-struktuiranim imenima, kako bi otežali detekciju statičkim filterima. Domene imaju nisku ili nepoznatu reputaciju i čini se da se rotiraju redovno.
Napadi su uglavnom ciljali B2B pružaoce usluga, kao što su firme koje nude finansijske i kadrovske usluge, komunalne usluge i SaaS (softver kao usluga) provajdere, koji redovno rukuju vrijednim korporativnim podacima.
Korišćenje SVG smuggling tehnike u ovim ciljanima fišing kampanjama omogućava napadačima da zaobiđu tradicionalnu detekciju ponašanja ili potpisima, jer se logika ugrađene skripte aktivira direktno u pregledaču, bez interakcije korisnika ili spoljašnjih preuzimanja.
„Ova kampanja se izdvaja jer koristi nativnu redirekciju unutar pregledača, bez potrebe za interakcijom korisnika ili eksternim preuzimanjima. Ona spaja tradicionalni fišing sa isporukom punog malvera, čineći napad prikrivenim i efikasnim“, napominje Ontinue.
Prema riječima Jasona Soroka, višeg saradnika u kompaniji Sectigo, da bi se ovi napadi ublažili, odbrambeni timovi treba da tretiraju sadržaj isto kao i kod.
„Svaki dolazni SVG tretirajte kao potencijalni izvršni fajl. Uklonite ili blokirajte script tagove. Primijenite striktno usklađivanje DMARC i automatski brišite sumnjive mejlove. Aktivirajte telemetriju kako biste detektovali redirekcije pregledača koje se aktiviraju promjenama window.location, a koje dolaze iz pregleda slika. Višeslojna kontrola, poput Safe Links razoružavanja sadržaja i nadgledanja domena koji liče na legitimne, poremetiće jednostavan put na koji se napadači trenutno oslanjaju“, izjavio je Soroko.
Izvor: SecurityWeek
