Ölçeklenebilir Vektör Grafikleri (.svg) dosyaları, her çözünürlükte net görüntü sunan hafif, XML tabanlı görsellerdir. Genellikle zararsız olsalar da, içlerinde aktif kod barındırabilirler ve siber saldırganlar, zararlı yazılımları gizlice yaymak için giderek daha fazla bu dosyaları kullanıyor.
Güvenlik araştırması yapan bir platformun yayımladığı yeni bir rapora göre, silahlandırılmış SVG dosyaları kullanılarak zararlı yazılım bulaştırıldığı, bir devlet kurumunu taklit edildiği ve antivirüs tespitinden tamamen kaçıldığı bir kampanya ortaya çıkarıldı.
Daha Önce Tespit Edilemeyen 44 Oltalama SVG'si
4 Eylül'de yayımlanan raporda, platformun Kod Analiz sistemi tarafından Kolombiya yargı sisteminden gelen yasal bir bildirim gibi görünen bir SVG dosyası işaretlendi. Dosya açıldığında, tarayıcı içinde gerçekçi görünen, sahte bir ilerleme çubuğu ve indirme düğmesi içeren bir web portalı görüntülendi. Bu düğme, imzalı bir tarayıcı çalıştırılabilir dosyası ve kötü amaçlı bir .dll dosyası içeren zararlı bir ZIP arşivini indirdi. Bu .exe dosyası çalıştırıldığında, sisteme daha fazla zararlı yazılım yüklendiği belirtildi.
Saldırının, SVG'lerin gömülü HTML ve JavaScript'i desteklemesi ancak bu özelliğin genellikle göz ardı edilmesi üzerine kurulduğu anlaşıldı. Bu, e-posta eklerinde veya bulut depolamada barındırılsalar bile, SVG'lerin mini web sayfaları veya bu örnekteki gibi tam teşekküllü oltalama kitleri olarak kullanılabileceği anlamına geliyor. Yapılan geriye dönük taramalarda, aynı kampanyaya ait 523 SVG dosyasının, gönderildikleri anda antivirüs motorları tarafından tamamen tespit edilemeyen 44 tanesinin bulunduğu belirlendi.
Araştırmaya göre, bu SVG'lerin kaynak kodunda, kod gizleme teknikleri ve "statik tespitten kaçınmak için entropiyi artırmaya yönelik bol miktarda rastgele (çöp) kod" bulunduğu tespit edildi.
Yalnız Bir Vaka Değil
Bu yılın başlarında, bankaları ve sigorta şirketlerini hedef alan SVG oltalama kampanyaları belgelenmişti. Ayrıca, SVG'lerin yönlendirici veya kimlik bilgisi toplayıcı olarak kullanımında keskin bir artış izlendiği bildirildi. Güvenlik şirketleri de, filtreleri aşan SVG yüklerini bulduktan sonra yeni tespit kuralları geliştirdi.
Bir teknoloji devi ise, web'de ve yeni Windows sürümünde yerleşik SVG işleme desteğini kaldırmaya başladı. Bu destek kaldırıldığında, SVG'ler artık görüntülenmeyecek ve bunun yerine boş alanlar görünecek. Bu adım, aktif içeriği bir mesajın gövdesine gizlemeye çalışan saldırganlar için güçlü bir dağıtım vektörünü kapatıyor.
Şu an için kullanıcıların, bilinmeyen SVG dosyalarını diğer bilinmeyen dosyalarla aynı düzeyde dikkatle incelemesi öneriliyor.
