Specialiștii în securitate au descoperit un nou mod prin care hackerii au încercat recent să se infiltreze în computerele victimelor. Folosind un tip de fișiere aparent banale, atacatorii au reușit să treacă de numeroase filtre de securitate ale programelor antivirus.
Concret, platforma VirusTotal, care este deținută de Google încă din 2012, a tras semnalul de alarma după ce și-a actualizat instrumentul AI Code Insight pentru a analiza fișiere SVG. Astfel, a descoperit un fișier SVG care imita un portal oficial al sistemului judiciar din Columbia. Fișierul afișa o pagină falsă cu o bară de încărcare și un buton care declanșa descărcarea unui fișier ZIP malițios conținând un browser fals, Comodo Dragon și un fișier .dll. Dacă se executau aceste fișiere, automat se instala un malware pe dispozitivul victimei.
Investigațiile au arătat că atacatorii au creat tehnici complexe de evitare a detecției: au folosit numeroase secvențe inutile de cod și tehnici avansate de a masca comenzile reale programate , iar astfel a fost posibil by-pass-ul antivirusurilor clasice. VirusTotal a legat campania de peste 500 de fișiere SVG, dintre care 44 nu au fost detectate niciodată de motoarele antivirus folosite în această investigație.
Și alte companii de securitate au semnalat explozia acestui tip de amenințare. Sophos a observat SVG-uri folosite pentru phishing în e-mailuri care imită Dropbox, Microsoft SharePoint sau DocuSign. Ca răspuns, Microsoft a decis să elimine suportul pentru afișarea SVG-urilor în Outlook, tocmai pentru a bloca această metodă de livrare a conținutului cu potențial malițios. Cloudflare a raportat un număr tot mai mare de atacuri prin SVG-uri care redirecționează utilizatorii către pagini de tip credential harvester. Iar IBM X-Force a documentat campanii similare țintind bănci și firme de asigurări.
Prin urmare, având în vedere și contextual geopolitic actual, utilizatorii sunt sfătuiți să trateze cu mare precauție orice fișier de tip SVG.
