Кибератаки через SVG-файлы: пользователи Gmail, Outlook и Dropbox становятся мишенью
Современные методы кибератак становятся все более сложными, и киберпреступники прибегают к новым и инновационным способам атак. В последнее время наблюдается рост фишинговых кампаний, в которых злоумышленники используют файлы Scalable Vector Graphics (SVG) для атак на пользователей Gmail, Outlook и Dropbox. Эта опасная тактика помогает обходить антивирусные и спам-фильтры, что позволяет киберпреступникам похищать конфиденциальные данные миллионов пользователей.
Хотя фишинговые атаки существовали и ранее, с января 2025 года количество киберпреступлений с использованием SVG-файлов резко возросло. Это связано с тем, что SVG-файлы — это не просто изображения, а файлы, основанные на XML-коде, которые могут содержать активный веб-контент, такой как JavaScript, HTML и ссылки. Именно благодаря этим возможностям злоумышленники используют их для перенаправления пользователей на фишинговые сайты и распространения вредоносного ПО.
Большинство людей привыкли к изображениям в форматах JPEG или PNG. Однако ключевое отличие SVG в том, что он не только сохраняет изображение, но и может содержать активный код. Из-за этого, когда пользователь открывает такой файл, он автоматически запускается в браузере и может перенаправить его на подозрительные сайты.
Как работают фишинговые атаки через SVG-файлы?
1️⃣ Киберпреступники рассылают фишинговые письма с прикрепленными SVG-файлами.
2️⃣ При открытии файла браузер автоматически запускается и открывает фишинговую страницу.
3️⃣ Эта страница выглядит как официальный сайт Microsoft Office365, Dropbox или DocuSign.
4️⃣ Пользователь вводит свои учетные данные, которые затем отправляются на сервер злоумышленников.
Эффективность этих атак связана с использованием методов социальной инженерии. Киберпреступники используют различные тактики, чтобы обмануть пользователей и направить их на фишинговые сайты.
Основные темы, используемые в таких атаках:
✅ «Вам поступило новое голосовое сообщение» — пользователям сообщается о якобы оставленном голосовом сообщении.
✅ «Подтверждение платежа – SWIFT [случайный код]» — отправляются письма, связанные с финансовыми документами, содержащие ссылки на фишинговые сайты.
✅ «Требуется e-подпись: документы о капитальном финансировании» — пользователи получают фальшивые запросы на подписание документов.
Хакеры также подделывают сайты популярных сервисов, таких как Microsoft SharePoint, Google Drive и DocuSign, чтобы сделать свои атаки более убедительными.
Некоторые SVG-файлы могут содержать JavaScript-код, который перенаправляет пользователей на фишинговые сайты без необходимости нажимать на какие-либо ссылки. Кроме того, продвинутые фишинговые атаки адаптируются к языку и геолокации пользователей.
Еще один опасный метод — использование шифрованного кода в формате Base64. Эти коды могут быть заархивированы в ZIP-файлы и содержать кейлоггеры, такие как Nymeria, для кражи личных данных.
Примеры атак:
🔸 В одной кампании с помощью SVG-файлов распространялся троян Troj/AutoIt-DHB.
🔸 В другой кампании злоумышленники подделали сайт DocuSign и заставили пользователей загружать вредоносные HTML-файлы.
Как защититься от таких атак?
✅ Настройте систему так, чтобы SVG-файлы открывались не в браузере, а в текстовом редакторе, например, Notepad.
✅ Никогда не открывайте вложения из писем, отправленных неизвестными отправителями или содержащих подозрительные темы.
✅ Всегда проверяйте адресную строку браузера, чтобы убедиться в подлинности сайта.
✅ Регулярно обновляйте антивирусные программы и включите защиту от новых угроз, таких как Cxmail/EmSVG-C.
✅ Включите двухфакторную аутентификацию (2FA) для защиты учетных записей в Gmail, Outlook и других сервисах.
Использование SVG-файлов киберпреступниками демонстрирует новый уровень фишинговых атак. Такие файлы воспринимаются как обычные изображения, но на самом деле могут содержать сложный вредоносный код.
Поэтому как компании, так и обычные пользователи должны быть более внимательными, усилить защиту электронной почты и применять современные методы кибербезопасности.
На сегодняшний день кибербезопасность — это не просто программное обеспечение или антивирус, а осведомленность пользователей и способность принимать превентивные меры. Следование указанным рекомендациям поможет защитить себя от новых угроз.
