Les e-mails de phishing utilisent de plus en plus de pièces jointes SVG pour échapper à la détection

Les auteurs de menaces utilisent de plus en plus de pièces jointes Scalable Vector Graphics (SVG) pour afficher des formulaires de phishing ou déployer des logiciels malveillants tout en échappant à la détection.

La plupart des images sur le Web sont des fichiers JPG ou PNG, constitués de grilles de petits carrés appelés pixels. Chaque pixel a une valeur de couleur spécifique et, ensemble, ces pixels forment l’image entière.

SVG, ou Scalable Vector Graphics, affiche les images différemment, car au lieu d’utiliser des pixels, les images sont créées à l’aide de lignes, de formes et de texte décrits dans des formules mathématiques textuelles dans le code.

Par exemple, le texte suivant créera un rectangle, un cercle, un lien et du texte :

Lorsqu’il est ouvert dans un navigateur, le fichier générera les graphiques décrits par le texte ci-dessus.

Comme il s’agit d’images vectorielles, elles sont automatiquement redimensionnées sans perte de qualité ou de forme, ce qui les rend idéales pour une utilisation dans des applications de navigateur pouvant avoir des résolutions différentes.

Utiliser des pièces jointes SVG pour échapper à la détection

L’utilisation de pièces jointes SVG dans les campagnes de phishing n’a rien de nouveau, BleepingComputer signalant leur utilisation dans les précédentes campagnes de logiciels malveillants Qbot et comme moyen de masquer les scripts malveillants.

Cependant, selon un chercheur en sécurité, les auteurs de menaces utilisent de plus en plus de fichiers SVG dans leurs campagnes de phishing. Équipe MalwareHunterqui a partagé des échantillons récents [1, 2] avec BleepingComputer.

Ces exemples, et d’autres vus par BleepingComputer, illustrent à quel point les pièces jointes SVG peuvent être polyvalentes car elles vous permettent non seulement d’afficher des graphiques, mais peuvent également être utilisées pour afficher du HTML, en utilisant le élément et exécutez JavaScript lorsque le graphique est chargé.

Cela permet aux acteurs malveillants de créer des pièces jointes SVG qui non seulement affichent des images, mais créent également des formulaires de phishing pour voler des informations d’identification.

Comme indiqué ci-dessous, une pièce jointe SVG récente [VirusTotal] affiche une fausse feuille de calcul Excel avec un formulaire de connexion intégré qui, une fois soumis, envoie les données aux acteurs de la menace.

Autres pièces jointes SVG utilisées dans une campagne récente [VirusTotal] prétendent être des documents officiels ou des demandes d’informations supplémentaires, vous invitant à cliquer sur le bouton de téléchargement, qui télécharge ensuite des logiciels malveillants à partir d’un site distant.

D’autres campagnes utilisent des pièces jointes SVG et du JavaScript intégré pour rediriger automatiquement les navigateurs vers des sites hébergeant des formulaires de phishing lorsque l’image est ouverte.

Le problème est que, comme ces fichiers ne sont pour la plupart que des représentations textuelles d’images, ils ont tendance à ne pas être souvent détectés par les logiciels de sécurité. À partir des échantillons vus par BleepingComputer et téléchargés sur VirusTotal, ils ont tout au plus une ou deux détections par un logiciel de sécurité.

Cela dit, la réception d’une pièce jointe SVG n’est pas courante pour les e-mails légitimes et doit immédiatement être traitée avec suspicion.

À moins que vous ne soyez un développeur et que vous vous attendiez à recevoir ce type de pièces jointes, il est plus sûr de supprimer tous les e-mails les contenant.