Gli aggressori nascondono JavaScript nelle immagini SVG per attirare gli utenti verso siti dannosi

È in aumento una nuova forma di attacco informatico: gli hacker ora utilizzano file di immagini Scalable Vector Graphics (SVG) apparentemente innocui per infiltrare codice dannoso eludendo le difese tradizionali, rivela l'ultima ricerca del team Ontinue Advanced Threat Operations.

Questa tecnica, soprannominata "SVG Smuggling" dai ricercatori, sfrutta questi file di immagine, solitamente innocui, per reindirizzare gli utenti a siti web controllati dagli aggressori a loro insaputa. I risultati di Ontinue, condivisi con Hackread.com, evidenziano questi attacchi mirati, rivolti principalmente ai fornitori di servizi B2B, tra cui aziende che gestiscono dati aziendali sensibili (come informazioni finanziarie e sui dipendenti), servizi di pubblica utilità e fornitori SaaS , tutti spesso vulnerabili a causa dell'elevato volume di email.

L'attacco inizia con email ingannevoli create dai criminali informatici utilizzando temi come "Lista di cose da fare", "Chiamata persa" o notifiche di "Pagamento". Si tratta di email di phishing altamente convincenti che sembrano provenire da fonti o individui attendibili, sfruttando misure di sicurezza deboli o assenti come SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting and Conformance).

Si tratta di metodi di autenticazione email progettati per verificare che un'email sia legittima e non sia stata falsificata. A volte, gli aggressori utilizzano persino domini simili, ovvero indirizzi web che assomigliano molto a quelli legittimi, per ingannare gli utenti.

Il file SVG dannoso può essere allegato direttamente all'email o collegato come immagine esterna. Le email stesse sono spesso molto semplici per evitare sospetti e incoraggiare il destinatario ad aprire il file SVG, che a sua volta attiva lo script nascosto.

Gli aggressori utilizzano domini temporanei e di bassa reputazione con sottodomini casuali per ospitare la loro infrastruttura dannosa, rendendoli difficili da tracciare e bloccare. Questa minaccia in continua evoluzione prevede l'incorporamento di codice JavaScript nascosto e offuscato all'interno di file SVG, spesso all'interno di sezioni. Quando un utente apre o visualizza in anteprima un SVG di questo tipo in un browser web, lo script nascosto viene eseguito silenziosamente.

Questo script, utilizzando una chiave XOR statica per decifrare il payload, utilizza poi funzioni integrate del browser come window.location.href (che modifica l'indirizzo della pagina web corrente) e atob() (che decodifica i dati criptati) per indirizzare la vittima a un sito fraudolento. L'URL di reindirizzamento finale include spesso stringhe codificate in Base64, probabilmente utilizzate per il tracciamento o la correlazione delle vittime.

Secondo gli esperti di sicurezza di Ontinue, questa tecnica aggira molti strumenti comuni nascondendo codice dannoso nelle immagini. Per contrastarla, le organizzazioni dovrebbero attivare le funzionalità di Microsoft Defender come Collegamenti sicuri, Allegati sicuri, criteri anti-phishing e Zero-hour Auto Purge (ZAP). Rafforzare la sicurezza della posta elettronica con DMARC , l'allineamento SPF/DKIM, il blocco degli allegati SVG o il disarmo dei contenuti è fondamentale. Anche il monitoraggio dei domini lookalike e la formazione degli utenti sui rischi SVG sono passaggi fondamentali per rimanere protetti.

" Si tratta di una nuova versione della tecnica di utilizzo di file immagine per la distribuzione di contenuti sospetti, in questo caso PDF dannosi. Gli aggressori devono affidarsi alla compiacenza ("è solo un'immagine, non esegue codice") per indurre le organizzazioni ad accettare questo contenuto e a inserirlo all'interno di una rete " , ha affermato John Bambenek , Presidente di Bambenek Consulting.

" Sebbene questo rapporto e questa ricerca siano preziosi per le aziende e la ricerca sia preziosa per i team di ricerca, le organizzazioni senza personale addetto alla sicurezza o consumatori finali rimarranno vulnerabili ai reati informatici convenzionali con questa tecnica " , ha aggiunto.