Les SVG apparemment inoffensifs sont remplis de JavaScript malveillant pour une redirection de phishing vers des URL contrôlées par l’acteur.
Les acteurs de la menace passent des astuces de phishing conventionnelles, qui ont utilisé des liens malveillants et documentent les macros, à des fichiers d’images d’apparence bénin intégrés avec des redirections de navigateur furtives.
Selon une découverte d’Onninue, les nouvelles campagnes utilisent des graphiques vectoriels évolutifs (SVG) – généralement des formats d’image inoffensifs – pour se faufiler dans un JavaScript obscurci qui redirige tranquillement les victimes vers des domaines malveillants.
« Il s’agit d’une nouvelle tournure sur la technique d’utilisation de fichiers d’image pour livrer du contenu suspect, dans ce cas, des SVG malveillants », a déclaré John Bambenek de Bambenek Consulting. « Les attaquants doivent compter sur la complaisance ( » Ce n’est qu’une image, elle n’exécute pas de code « ) pour alimenter les organisations pour accepter ce contenu et l’obtenir à l’intérieur d’un réseau. »
Les campagnes, qui utilisent des leurres d’ingénierie sociale comme «Todolist», «Call manqué» et «Rappel de paiement», ne nécessitent aucun téléchargement ou clic supplémentaire à mesure que le script se déchiffre automatiquement au sein du navigateur de la victime.
Utilisation intelligente de SVG pour la livraison
Selon les chercheurs d’Onninue, l’accès initial est acquis via des expéditeurs de courriels usurpés ou usurpés qui livrent le SVG malveillant soit en tant que pièce jointe directe, soit via un lien vers une image hébergée externe qui semble inoffensive.
« Les défenseurs doivent effondrer l’ancienne distinction entre le code et le contenu », a déclaré Jason Soroko, chercheur principal à Sectigo. « Traitez chaque SVG entrant comme un exécutable potentiel. Strip ou bloquer les balises de script. »
Le SVG utilise JavaScript crypté XOR, et une fois vu dans un navigateur, il décode et exécute une redirection vers une URL finale contrôlée par l’acteur avec un codage de base64 pour le suivi des victimes. Contrairement aux logiciels malveillants typiques, aucun fichier n’est supprimé, aucune macros déclenchée, juste une exécution native du navigateur pur. La livraison furtive est possible en raison de erreurs de configuration de sécurité telles que les politiques d’authentification, de rapport et de conformité (DKIM) ou d’authentification et de conformité (DMARC), les protocoles d’authentification par courrier électronique pour protéger l’usurpation et la phishing et la phishing.
« Bien que cette recherche soit précieuse pour les équipes d’entreprise et de chasse, les organisations sans personnel de sécurité resteront vulnérables à la cybercriminalité conventionnelle avec cette technique », a ajouté Bambenek, soulignant la nécessité d’avoir une équipe dédiée supervisant ces contrôles.
Campagnes innovantes, évasives et ciblées
Les chercheurs ont souligné que la détection traditionnelle des critères de terminaison, les outils antivirus et même les filtres par e-mail ont du mal à repérer cette menace car les fichiers d’image comme les SVG sont rarement considérés comme dangereux. Par rapport aux attaques précédentes basées sur SVG qui ont utilisé des charges utiles hébergées, cette méthode maintient tout ce qui est autonome, glissant davantage les défenses passées.
Les victimes couvrent les fournisseurs de services B2B, les services publics et les sociétés SaaS, organisations qui reçoivent naturellement des volumes élevés de pièces jointes. Pour un ciblage supplémentaire, la campagne utilise le géofencing pour adapter les attaques par région, ont ajouté des chercheurs.
Les recherches sur l’on ont recommandé d’appliquer SPF, DKIM et DMARC pour bloquer les e-mails usurpés et bloquer ou désinfecter les pièces jointes SVG. L’utilisation d’inspection de contenu profonde sur les fichiers entrants et l’activation de protections telles que des liens sûrs, des pièces jointes et ZAP dans Microsoft Defender pourraient également aider. Soroko a fait écho aux conseils d’Onninue et a souligné la nécessité d’une défense proactive, déclarant: «Appliquer un alignement DMARC strict et une purge automatique par courrier discutable.
