Taggat med: MS-SHLLINK

Ökning av SVG-baserade cyberattacker: Vad du bör veta

Ökat antal attacker som använder SVG

Nya rapporter visar en kraftig ökning av attacker som utnyttjar SVG-filer – ett filformat som ofta förknippas med ofarliga ikoner och grafik på webben. Men under ytan kan dessa filer innehålla dold JavaScript-kod som används för bl.a. phishing.

SVG (Scalable Vector Graphics) är ett XML-baserat filformat för tvådimensionell grafik som kan skalas obegränsat utan att förlora kvalitet. Formatet används ofta för ikoner, logotyper och illustrationer på websidor.

Följande graf visar på ny statistik från cybersäkerhetsföretaget Trustwave:

Det är således bifogade filer i E-postmeddelanden där SVG först och främst används som attackvektor.

Risken ligger i att webbläsare som Chrome, Firefox, Safari och Edge kör automatiskt inbäddad JavaScript-kod utan att visa några säkerhetsvarningar. Det gör SVG-phishing särskilt effektivt, eftersom användaren inte får någon varning om potentiella risker med att öppna dessa bifogade filer.

I kontrast till detta kör skrivbordsbaserade e-postklienter som Outlook och Thunderbird vanligtvis inte skript i SVG-filer. I stället uppmanas användaren att öppna filen i en extern webbläsare. Vilket oavsiktligt ökar risken för phishing genom att flytta attackvektorn till en mindre kontrollerad och mer eventuellt en mer sårbar miljö.

Det är viktigt att poängtera att denna typ av attacker har observerats sedan 2015, men först nu har en markant ökning noterats. Även kan olika smugglings och obfuskerings-tekniker användas för att ta sig förbi Secure Email Gateways (SEGs), verktyg för detta finns också såsom AutoSmuggle.

Exempel på skadlig kod som använder SVG

Exempel på JavaScript-kod inbäddad i SVG:

Förslag på säkerhetshöjande åtgärder

  • Blockera SVG-bilagor i e-postfilter om möjligt
  • Inaktivera JavaScript-rendering av SVG i webbläsare (om möjligt)
  • Använd säkerhetslösningar som kan analysera inbäddad kod i exempelvis SVG-filer
  • Informera användare om riskerna med att öppna bilagor
  • Genomför återkommande penetrationstest och testa perimeterskyddets motståndskraft

Övrigt

Viktigt också att poängtera att det har skett en ökning gällande LNK-filer dvs shortcuts (MS-SHLLINK).

Källor: Cofence, Trustwave