SVG kártékony kód elemzése

Editors' Pick

Az AhnLab Biztonsági Intelligencia Központja (ASEC) nemrégiben olyan adathalász támadásokat azonosított, amelyek Scalable Vector Graphics (SVG) formátumú fájlokat használnak rosszindulatú kódok terjesztésére. Az SVG egy XML-alapú vektoros képformátum, amely lehetővé teszi CSS és JavaScript kódok beágyazását, és gyakran használják ikonok, logók, diagramok és grafikonok megjelenítésére. A támadók ezt a funkcionalitást kihasználva rejtik el a rosszindulatú szkripteket az SVG fájlokban. ​

A vizsgált esetekben az SVG fájlok olyan fájlnevekkel rendelkeztek, mint Play Voicemail Transcription.svg, MT103_0296626389_.svg vagy Access Document Remittance_RECEIPT6534114638.svg, amelyek célja a felhasználók megtévesztése és a fájlok megnyitásának ösztönzése. Ezekben a fájlokban a rosszindulatú szkriptek Base64 kódolással kerültek beágyazásra a <script> tag src attribútumán keresztül, ami megnehezíti a fájlok elemzését és a rosszindulatú tartalom felismerését.

A dekódolt szkriptek obfuszkált URL-ekre irányítják át a felhasználókat, amelyek gyakran CAPTCHA-oldalaknak álcázott rosszindulatú webhelyek. Ezek a weboldalak különböző technikákat alkalmaznak az elemzés megnehezítésére. A szkriptek ellenőrzik a user agent-et és más változókat, hogy észleljék a webes automatizációs eszközöket (pl. PhantomJS, Burp Suite), és ha ilyeneket találnak, üres oldalra irányítják át a felhasználót.​ Bizonyos billentyűkombinációk, mint például az F12 (fejlesztői eszközök megnyitása) vagy a Ctrl+U (forráskód megtekintése), le vannak tiltva, hogy megakadályozzák a felhasználókat a forráskód megtekintésében.​ A szkriptek megakadályozzák a jobb egérgombos kattintást, hogy a felhasználók ne férhessenek hozzá a kontextusmenü opcióihoz.​ A szkriptek mérik a kód végrehajtási idejét, és ha az túl hosszú, feltételezik, hogy hibakeresés folyik, és átirányítják a felhasználót egy másik oldalra.​

Amennyiben a felhasználó sikeresen átjut ezeken a védelmi mechanizmusokon és rákattint a CAPTCHA-nak álcázott gombra, a szkript egy előre meghatározott URL-re küld kérést, amely további rosszindulatú tevékenységeket indíthat el.Bár a jelenlegi elemzés során nem volt elérhető válasz ezekre a kérésekre, korábbi hasonló esetekben a felhasználókat például a Microsoft bejelentkezési oldalának álcázott adathalász oldalakra irányították. ​

FORRÁS