Хакеры маскируют фишинг под SVG-изображения

Киберпреступники начали рассылать фишинговые письма с вредоносным вложением под видом SVG-изображений. Главная опасность заключается в том, что файлы такого формата не проверяются шлюзами безопасности почти. Об этом сообщила киберэксперт и инженер-аналитик лаборатории исследований кибербезопасности компании «Газинформсервис» Ирина Дмитриева. 

«SVG – язык разметки масштабируемой векторной графики. Особенность файлов SVG-формата и подспорье в руках злоумышленников – это вхождение SVG в подмножество расширяемого языка XML. При открытии SVG-файла можно увидеть XML-разметку, которая поддерживает запуск JavaScript и HTML, в отличие от JPEG или PNG», – объяснила киберспециалист. 

Эксперт добавила, что с начала 2025 года значительно выросло количество атак с использованием SVG. Злоумышленники маскируют вредоносный HTML-код под SVG-изображения. Например, жертве предлагается «прослушать аудиосообщение» или «проверить электронную подпись». При переходе по ссылке пользователь попадает на поддельную страницу входа, которая выглядит как Google Voice или Microsoft. 

«Формат файлов SVG позволяет встраивать вредоносные скрипты в изображения, чем активно пользуются злоумышленники. Проводить подобные атаки достаточно просто, поскольку почтовые клиенты и антивирусы не проверяют содержимое SVG-файлов. Использование SVG в качестве контейнера для вредоносного контента может применяться и в более сложных целенаправленных атаках, в сочетаниях с технологиями стеганографии», – отметила Дмитриева. 

В результате мошенники крадут cookie или личные данные, а порой и устанавливают ВПО на хост пользователя, сообщила Дмитриева. Эксперт посоветовала не открывать SVG-файлы из непроверенных источников, отключить выполнение JS в настройках браузеров и почтовых клиентов, а также проверять код SVG на подозрительные элементы. 

Ранее редакция IT Speaker писала о том, что МВД зафиксировало новую мошенническую схему. Так, киберпреступники начали отправлять пользователям Telegram вирусы под видом фотографий. Злоумышленники отправляют личные сообщения с APK-файлами с подписью «фото».