Angreifer verstecken JavaScript in SVG-Bildern, um Benutzer auf bösartige Websites zu locken

Eine neue Form von Cyberangriffen ist auf dem Vormarsch: Hacker nutzen mittlerweile scheinbar harmlose SVG-Bilddateien (Scalable Vector Graphics), um Schadcode an herkömmlichen Abwehrmechanismen vorbeizuschleusen, wie die neuesten Forschungsergebnisse des Ontinue Advanced Threat Operations-Teams zeigen.

Bei dieser Technik, die von Forschern „SVG-Schmuggel“ genannt wird, werden diese normalerweise harmlosen Bilddateien als Waffe eingesetzt, um Benutzer ohne ihr Wissen auf von Angreifern kontrollierte Websites umzuleiten. Die Erkenntnisse von Ontinue, die Hackread.com zur Verfügung gestellt wurden, verdeutlichen diese gezielten Angriffe, die sich in erster Linie gegen B2B-Dienstleister richten, darunter Unternehmen, die sensible Unternehmensdaten (wie Finanz- und Mitarbeiterinformationen) verarbeiten, Versorgungsunternehmen und SaaS-Anbieter , die aufgrund ihres hohen E-Mail-Aufkommens häufig anfällig sind.

Der Angriff beginnt mit irreführenden E-Mails, die von Cyberkriminellen mit Betreffzeilen wie „ToDoList“, „Verpasster Anruf“ oder „Zahlung“ erstellt werden. Dabei handelt es sich um täuschend echte Phishing-Mails , die scheinbar von vertrauenswürdigen Quellen oder Personen stammen und schwache oder fehlende Sicherheitsmaßnahmen wie SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting and Conformance) ausnutzen.

Dies sind alles E-Mail-Authentifizierungsmethoden, die sicherstellen sollen, dass eine E-Mail legitim und nicht gefälscht ist. Manchmal verwenden Angreifer sogar Lookalike-Domains – Webadressen, die legitimen stark ähneln –, um Benutzer zu täuschen.

Die schädliche SVG-Datei kann direkt an die E-Mail angehängt oder als externes Bild verlinkt werden. Die E-Mails selbst sind oft sehr einfach gehalten, um Misstrauen zu vermeiden und den Empfänger zum Öffnen der SVG-Datei zu animieren, wodurch das versteckte Skript ausgelöst wird.

Angreifer nutzen temporäre, wenig reputative Domänen mit zufälligen Subdomänen, um ihre schädliche Infrastruktur zu hosten. Dadurch sind sie schwer zu verfolgen und zu blockieren. Diese sich entwickelnde Bedrohung beinhaltet die Einbettung von verstecktem, verschleiertem JavaScript-Code in SVG-Dateien, oft in Abschnitte. Wenn ein Benutzer ein solches SVG in einem Webbrowser öffnet oder in der Vorschau anzeigt, wird das verborgene Skript im Hintergrund ausgeführt.

Dieses Skript entschlüsselt seine Nutzlast mithilfe eines statischen XOR-Schlüssels und nutzt anschließend integrierte Browserfunktionen wie window.location.href (ändert die aktuelle Webseitenadresse) und atob() (dekodiert verschlüsselte Daten), um das Opfer auf eine betrügerische Website umzuleiten. Die endgültige Weiterleitungs-URL enthält häufig Base64-codierte Zeichenfolgen, die wahrscheinlich zur Opferverfolgung oder -korrelation verwendet werden.

Laut Sicherheitsexperten von Ontinue umgeht diese Technik viele gängige Tools, indem sie schädlichen Code in Bildern versteckt. Um dem entgegenzuwirken, sollten Unternehmen Microsoft Defender-Funktionen wie Safe Links, Safe Attachments, Anti-Phishing-Richtlinien und Zero-Hour Auto Purge (ZAP) aktivieren. Die Stärkung der E-Mail-Sicherheit mit DMARC , SPF/DKIM-Ausrichtung, dem Blockieren von SVG-Anhängen oder der Inhaltsbereinigung ist unerlässlich. Die Überwachung ähnlicher Domänen und die Aufklärung der Benutzer über SVG-Risiken sind ebenfalls wichtige Schritte zum Schutz.

„ Dies ist eine neue Variante der Technik, Bilddateien zur Übermittlung verdächtiger Inhalte, in diesem Fall bösartiger PDF-Dateien, zu verwenden. Die Angreifer müssen sich auf die Selbstgefälligkeit verlassen („es ist nur ein Bild, es führt keinen Code aus“), um Organisationen dazu zu bringen, diese Inhalte zu akzeptieren und in ein Netzwerk einzuschleusen “ , sagte John Bambenek , Präsident von Bambenek Consulting.

„ Obwohl dieser Bericht und die Untersuchung für Unternehmen wertvoll sind und die Suche für Jagdteams wertvoll ist, bleiben Organisationen ohne Sicherheitspersonal oder Endverbraucher mit dieser Technik anfällig für herkömmliche Cyberkriminalität “ , fügte er hinzu.