Atacantes escondem JavaScript em imagens SVG para atrair usuários para sites maliciosos

Uma nova forma de ataque cibernético está aumentando, com hackers agora usando arquivos de imagem Scalable Vector Graphics (SVG) aparentemente inofensivos para passar códigos maliciosos pelas defesas tradicionais, revela a pesquisa mais recente da equipe de Operações Avançadas de Ameaças da Ontinue.

Essa técnica, apelidada de "SVG Smuggling" pelos pesquisadores, transforma esses arquivos de imagem, normalmente inofensivos, em uma arma para redirecionar usuários a sites controlados por invasores sem o seu conhecimento. As descobertas da Ontinue, compartilhadas com o Hackread.com, destacam esses ataques direcionados, direcionados principalmente a provedores de serviços B2B, incluindo empresas que lidam com dados corporativos sensíveis (como informações financeiras e de funcionários), serviços públicos e provedores de SaaS , todos frequentemente suscetíveis devido ao alto volume de e-mails.

O ataque começa com e-mails enganosos criados por cibercriminosos usando temas como "Lista de Tarefas", "Chamada Perdida" ou notificações de "Pagamento". São e-mails de phishing altamente convincentes que parecem vir de fontes ou indivíduos confiáveis, explorando medidas de segurança fracas ou inexistentes, como SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting, and Conformance).

Todos esses são métodos de autenticação de e-mail projetados para verificar se um e-mail é legítimo e não foi falsificado. Às vezes, os invasores até usam domínios semelhantes – endereços da web que se assemelham bastante aos legítimos – para enganar os usuários.

O arquivo SVG malicioso pode ser anexado diretamente ao e-mail ou vinculado como uma imagem externa. Os e-mails em si costumam ser bem simples para evitar suspeitas e incentivar o destinatário a abrir o SVG, o que aciona o script oculto.

Os invasores usam domínios temporários e de baixa reputação com subdomínios aleatórios para hospedar sua infraestrutura maliciosa, dificultando seu rastreamento e bloqueio. Essa ameaça em evolução envolve a incorporação de código JavaScript oculto e ofuscado em arquivos SVG, geralmente dentro de seções. Quando um usuário abre ou visualiza um SVG em um navegador da web, o script oculto é executado silenciosamente.

Este script, usando uma chave XOR estática para descriptografar seu payload, utiliza funções integradas do navegador, como window.location.href (que altera o endereço da página web atual) e atob() (que decodifica dados embaralhados), para enviar a vítima a um site fraudulento. O URL de redirecionamento final geralmente inclui strings codificadas em Base64, provavelmente usadas para rastreamento ou correlação de vítimas.

De acordo com especialistas em segurança da Ontinue, essa técnica contorna muitas ferramentas comuns, ocultando códigos nocivos em imagens. Para combatê-la, as organizações devem ativar recursos do Microsoft Defender, como Links Seguros, Anexos Seguros, políticas Antiphishing e Limpeza Automática Zero-Hora (ZAP). Fortalecer a segurança de e-mail com DMARC , alinhamento SPF/DKIM, bloqueio de anexos SVG ou desarmamento de conteúdo é vital. Monitorar domínios semelhantes e educar os usuários sobre os riscos de SVG também são etapas essenciais para se manter protegido.

“ Esta é uma nova abordagem à técnica de usar arquivos de imagem para entregar conteúdo suspeito, neste caso, PDFs maliciosos. Os invasores precisam confiar na complacência (“é apenas uma imagem, não executa código”) para induzir as organizações a aceitar esse conteúdo e inseri-lo na rede ” , disse John Bambenek , presidente da Bambenek Consulting.

“ Embora este relatório e pesquisa sejam valiosos para empresas, e a busca seja valiosa para equipes de busca, organizações sem uma equipe de segurança ou consumidores finais permanecerão vulneráveis ao crime cibernético convencional com esta técnica ” , acrescentou.