Saldırganlar, Kullanıcıları Kötü Amaçlı Sitelere Çekmek İçin SVG Görüntülerine JavaScript Gizliyor

Ontinue Gelişmiş Tehdit Operasyonları ekibinin son araştırmasına göre, siber saldırının yeni bir biçimi yükselişte. Bilgisayar korsanları artık geleneksel savunmaları aşmak için görünüşte zararsız Ölçeklenebilir Vektör Grafikleri (SVG) görüntü dosyalarını kullanarak kötü amaçlı kodları gizlice sızdırıyor.

Araştırmacılar tarafından "SVG Kaçakçılığı" olarak adlandırılan bu teknik, genellikle zararsız olan bu görüntü dosyalarını, kullanıcıları bilgileri olmadan saldırganların kontrolündeki web sitelerine yönlendirmek için bir silah olarak kullanıyor. Ontinue'nin Hackread.com ile paylaştığı bulgular , öncelikli olarak hassas kurumsal verileri (finansal ve çalışan bilgileri gibi) işleyen firmalar, kamu hizmetleri ve SaaS sağlayıcıları da dahil olmak üzere B2B Hizmet Sağlayıcılarını hedef alan bu hedefli saldırıları vurguluyor; bunların hepsi yüksek e-posta hacimleri nedeniyle sıklıkla savunmasız durumda.

Saldırı, siber suçlular tarafından "Yapılacaklar Listesi", "Cevapsız Arama" veya "Ödeme" bildirimleri gibi temalar kullanılarak oluşturulan aldatıcı e -postalarla başlıyor. Bunlar, güvenilir kaynaklardan veya kişilerden geliyormuş gibi görünen, SPF (Gönderen Politika Çerçevesi), DKIM (Alan Anahtarlarıyla Tanımlanmış Posta) ve DMARC (Alan Adı Tabanlı Mesaj Kimlik Doğrulama, Raporlama ve Uygunluk) gibi zayıf veya eksik güvenlik önlemlerini kullanan, son derece ikna edici kimlik avı e-postalarıdır.

Bunların hepsi, bir e-postanın meşru olduğunu ve sahte olmadığını doğrulamak için tasarlanmış e-posta kimlik doğrulama yöntemleridir. Saldırganlar bazen kullanıcıları kandırmak için benzer alan adları (meşru olanlara çok benzeyen web adresleri) bile kullanırlar.

Kötü amaçlı SVG dosyası doğrudan e-postaya eklenebilir veya harici bir görsel olarak bağlanabilir. E-postalar genellikle şüphe uyandırmamak ve alıcıyı SVG dosyasını açmaya teşvik etmek için oldukça basit tutulur; bu da gizli betiği tetikler.

Saldırganlar, kötü amaçlı altyapılarını barındırmak için rastgele alt alan adlarına sahip geçici, düşük itibarlı alan adları kullanır ve bu da bunların izlenmesini ve engellenmesini zorlaştırır. Bu gelişen tehdit, genellikle SVG dosyalarına, gizli ve gizlenmiş JavaScript kodu yerleştirmeyi içerir. Bölümler. Bir kullanıcı böyle bir SVG'yi bir web tarayıcısında açtığında veya önizlediğinde, gizlenmiş betik sessizce çalışır.

Statik bir XOR anahtarı kullanarak yükünü şifresini çözen bu betik, ardından window.location.href (geçerli web sayfası adresini değiştirir) ve atob() (karıştırılmış verileri çözer) gibi yerleşik tarayıcı işlevlerini kullanarak kurbanı sahte bir siteye yönlendirir. Son yönlendirme URL'si genellikle kurban takibi veya ilişkilendirme için kullanılan Base64 kodlu dizeler içerir.

Ontinue güvenlik uzmanlarına göre, bu teknik, zararlı kodları görsellere gizleyerek birçok yaygın aracı atlatıyor. Buna karşı koymak için, kuruluşların Güvenli Bağlantılar, Güvenli Ekler, Kimlik Avı Önleme politikaları ve Sıfır Saatte Otomatik Temizleme (ZAP) gibi Microsoft Defender özelliklerini etkinleştirmeleri gerekiyor. DMARC , SPF/DKIM uyumu, SVG eklerini engelleme veya içerik etkisizleştirme ile e-posta güvenliğini güçlendirmek hayati önem taşıyor. Benzer etki alanlarını izlemek ve kullanıcıları SVG riskleri konusunda eğitmek de korunmak için kritik adımlardır.

Bambenek Consulting Başkanı John Bambenek, " Bu, şüpheli içerikleri (bu durumda kötü amaçlı PDF'ler) iletmek için görüntü dosyalarını kullanma tekniğinde yeni bir yaklaşım. Saldırganlar, kuruluşları bu içeriği kabul etmeye ve bir ağın içine yerleştirmeye ikna etmek için rehavete kapılmak zorunda kalıyorlar ("bu sadece bir görüntü, kod çalıştırmıyor"), " dedi .

" Bu rapor ve araştırma işletmeler için değerlidir ve arama, arama ekipleri için değerlidir, ancak güvenlik personeli veya son tüketicileri olmayan kuruluşlar, bu teknikle geleneksel siber suçlara karşı savunmasız kalacaktır " diye ekledi.