Gli aggressori utilizzano sempre più spesso file SVG con JavaScript incorporato e payload codificati Base64 per fornire pagine di phishing e malware eludendo il rilevamento tradizionale. Deep CDR™, una delle tecnologie principali di MetaDefender Core™, neutralizza questa classe di attacchi rimuovendo tutti i contenuti attivi (script, riferimenti esterni, gestori di eventi, ecc.) e fornendo un'immagine pulita e conforme agli standard che conserva la funzionalità eliminando i rischi. Gli SVG (Scalable Vector Graphics) normali e affidabili non necessitano di JavaScript, che viene quindi rimosso per impostazione predefinita.
Perché SVG
Il veicolo perfetto per i payload di phishing
SVG è un formato di immagine vettoriale basato su XML, non una semplice bitmap.
Un file SVG può includere:
- Script
- Gestori di eventi
- Riferimenti esterni
Queste caratteristiche sono utili per la grafica interattiva, ma gli aggressori le sfruttano per:
- Eseguire codice dannoso
- Iniettare dati XML dannosi
- Recuperare contenuti esterni
- Rendere false le pagine di login
Gli aggressori combinano anche gli SVG con il contrabbando di HTML/JS incorporando payload Base64 all'interno di immagini apparentemente innocue e decodificandole in fase di esecuzione. Questa tecnica è ora formalmente tracciata come MITRE ATT&CK "SVG Smuggling" (T1027.017).
Principali risultati
In normal enterprise content workflows (logos, icons, diagrams), SVGs don’t require JavaScript or active content. If you find <script>, event handlers, or remote references in an inbound SVG, treat them as risky.
Cosa vediamo in natura
Allegato e-mail con phishing con codifica Base64
- Consegna: Un'e-mail di routine contiene un allegato .svg che molti gateway di posta elettronica trattano come un'immagine.
- Technique: Inside the SVG, an obfuscated <script> reconstructs a phishing page from a Base64 blob and loads it in the browser.
Sito web Drive che utilizza i gestori di eventi per il reindirizzamento
- Consegna: Un sito compromesso o con errori di battitura utilizza un overlay SVG trasparente con regioni cliccabili.
- Tecnica: Gli attributi degli eventi (onload, onclick) attivano i reindirizzamenti utilizzando la decodifica Base64.
Perché il rilevamento è difficile qui
Gli approcci tradizionali come le firme, le regole di pattern e l'ispezione statica del codice falliscono quando gli aggressori:
- Offuscare con Base64, XOR, imbottitura di testo spazzatura o modelli polimorfici.
- Rimandano l'esecuzione al runtime (ad esempio, onload), rendendo l'analisi statica inaffidabile.
- Nascondere la logica dietro le funzioni SVG legittime, come i gestori di eventi e i riferimenti esterni.
Fatto interessante
Secondo i dati di HTTP Archive, SVG è utilizzato dal 92% dei primi 1000 siti web per icone e grafica.
"Se è attivo, è rischioso".
Deep CDR per SVG
Deep CDR, una delle tecnologie principali di MetaDefender Core, non cerca di indovinare cosa sia dannoso. Presume che qualsiasi contenuto eseguibile o attivo nei file non attendibili sia rischioso e lo rimuove o lo sanitizza.
Per gli SVG, ciò significa:
- Remove JavaScript: Strips out any <script> elements and inline scripts to prevent code execution.
- Rimuovi CDATA: elimina il codice nascosto all'interno delle sezioni CDATA che potrebbe incorporare una logica dannosa.
- Rimuovi l'iniezione: Blocca i contenuti iniettati che potrebbero eseguire programmi dannosi.
- Elabora immagine: Sanifica ricorsivamente le immagini incorporate e rimuove quelle esterne.
- Normalizza e ricostruisce: Crea un SVG conforme agli standard con solo elementi visivi sicuri.
- Opzionalmente rasterizza: Converte SVG in PNG o PDF per i flussi di lavoro che non richiedono interattività vettoriale.
Questo approccio è in linea con le linee guida sulla sicurezza: sanitizzare o sandboxare gli SVG (o rasterizzarli) per impedire l'esecuzione di codice.
Casi d'uso principali con Deep CDR
Gateway e-mail
Sanitizzare gli allegati in entrata e i file collegati (URL risolti tramite download) prima della consegna. Gli SVG convertiti in SVG puliti impediscono il rendering degli harvester di credenziali e l'avvio dei downloader.
Piattaforme di collaborazione
Applicate Deep CDR ai file condivisi attraverso strumenti come Teams, Slack o SharePoint. La sanificazione degli SVG garantisce che nessuna schermata di accesso nascosta o script dannoso possa ingannare gli utenti durante la collaborazione quotidiana.
Portali di caricamento web
Applicate la sanitizzazione a tutti i file caricati sui vostri siti web, CMS o sistemi di gestione delle risorse digitali. In questo modo si impedisce agli aggressori di nascondere codice dannoso all'interno di quello che sembra un semplice logo o una grafica.
Trasferimento di file e MFT Managed File Transfer)
Integrate Deep CDR nei flussi di lavoro di trasferimento dei file, in modo che ogni file, specialmente quelli provenienti da partner o fornitori, sia sicuro prima di entrare nella vostra rete. In questo modo si riducono i rischi per la supply chain derivanti da asset compromessi.
Impatto commerciale
Ignorare la sanitizzazione SVG può portare a:
- Furto di credenziali: Le false pagine di login raccolgono le credenziali degli utenti.
- Infezioni da malware: Le catene di reindirizzamento forniscono ransomware o stealers.
- Violazioni della conformità: Le violazioni di dati sensibili possono causare multe e danni alla reputazione.
Migliori pratiche per prevenire gli attacchi basati su SVG
- Posizione predefinita: Nessun JavaScript in SVG da fonti non attendibili.
- Sanitizzare o rasterizzare: Applica il Deep CDR a tutti i file SVG in entrata.
- In combinazione con CSP: utilizzare come difesa in profondità, non come controllo primario.
- Controllo e registrazione: Tracciamento di ogni azione di sanificazione per la conformità e la forensics.
Pensieri conclusivi
Il phishing basato su SVG non è teorico, sta accadendo ora. Gli strumenti di rilevamento non sono in grado di tenere il passo con l'evoluzione delle tecniche di offuscamento. Deep CDR offre un approccio deterministico e a fiducia zero, eliminando il rischio prima che raggiunga gli utenti.
