Les auteurs de menaces utilisent de plus en plus des pièces jointes SVG (Scalable Vector Graphics) pour afficher des formulaires de phishing ou déployer des logiciels malveillants tout en échappant à la détection.
La plupart des images sur le Web sont des fichiers JPG ou PNG, constitués de grilles de minuscules carrés appelés pixels. Chaque pixel a une valeur de couleur spécifique et, ensemble, ces pixels forment l’image entière.
SVG, ou Graphiques vectoriels évolutifs, affiche les images différemment, car au lieu d’utiliser des pixels, les images sont créées à travers des lignes, des formes et du texte décrits dans des formules mathématiques textuelles dans le code.
Par exemple, le texte suivant créera un rectangle, un cercle, un lien et du texte:
<svg width="200" height="200" xmlns="http://www.w3.org/2000/svg">
<!-- A rectangle -->
<rect x="10" y="10" width="100" height="50" fill="blue" stroke="black" stroke-width="2" />
<!-- A circle -->
<circle cx="160" cy="40" r="40" fill="red" />
<!-- A line -->
<line x1="10" y1="100" x2="200" y2="100" stroke="green" stroke-width="3" />
<!-- A text -->
<text x="50" y="130" font-size="20" fill="black">Hello, SVG!</text>
</svg>
Lorsqu’il est ouvert dans un navigateur, le fichier générera les graphiques décrits par le texte ci-dessus.
Comme il s’agit d’images vectorielles, elles se redimensionnent automatiquement sans perte de qualité d’image ou de forme, ce qui les rend idéales pour une utilisation dans des applications de navigateur pouvant avoir des résolutions différentes.
Utilisation de pièces jointes SVG pour échapper à la détection
L’utilisation de pièces jointes SVG dans les campagnes de phishing n’a rien de nouveau, Breachtrace signalant leur utilisation dans les campagnes précédentes de logiciels malveillants Qbot et comme moyen de masquer les scripts malveillants.
Cependant, les acteurs de la menace utilisent de plus en plus de fichiers SVG dans leurs campagnes de phishing selon le chercheur en sécurité MalwareHunterTeam, qui a partagé des échantillons récents [1, 2] avec Breachtrace .
Ces exemples, et d’autres vus par Breachtrace , illustrent à quel point les pièces jointes SVG peuvent être polyvalentes car elles vous permettent non seulement d’afficher des graphiques, mais peuvent également être utilisées pour afficher du HTML, en utilisant l’élément , et exécuter JavaScript lorsque le graphique est chargé.
Cela permet aux auteurs de menaces de créer des pièces jointes SVG qui non seulement affichent des images, mais créent également des formulaires de phishing pour voler des informations d’identification.
Comme indiqué ci-dessous, une pièce jointe SVG récente [VirusTotal] affiche une fausse feuille de calcul Excel avec un formulaire de connexion intégré qui, une fois soumis, envoie les données aux acteurs de la menace.
D’autres pièces jointes SVG utilisées dans une campagne récente [VirusTotal] prétendent être des documents officiels ou des demandes d’informations supplémentaires, vous invitant à cliquer sur le bouton de téléchargement, qui télécharge ensuite des logiciels malveillants à partir d’un site distant.
D’autres campagnes utilisent des pièces jointes SVG et du JavaScript intégré pour rediriger automatiquement les navigateurs vers des sites hébergeant des formulaires de phishing lorsque l’image est ouverte.
Le problème est que, puisque ces fichiers ne sont pour la plupart que des représentations textuelles d’images, ils ont tendance à ne pas être détectés aussi souvent par les logiciels de sécurité. À partir d’échantillons vus par Breachtrace et téléchargés sur VirusTotal, au maximum, ils ont une ou deux détections par un logiciel de sécurité.
Cela dit, la réception d’une pièce jointe SVG n’est pas courante pour les courriels légitimes et doit immédiatement être traitée avec suspicion.
À moins que vous ne soyez un développeur et que vous vous attendiez à recevoir ces types de pièces jointes, il est plus sûr de supprimer tous les courriels les contenant.