SVG kártékony kód elemzése
Az AhnLab Biztonsági Intelligencia Központja (ASEC) nemrégiben olyan adathalász támadásokat azonosított, amelyek Scalable Vector Graphics (SVG) formátumú fájlokat használnak rosszindulatú kódok terjesztésére. Az SVG egy XML-alapú vektoros képformátum, amely lehetővé teszi CSS és JavaScript kódok beágyazását, és gyakran használják ikonok, logók, diagramok és grafikonok megjelenítésére. A támadók ezt a funkcionalitást kihasználva rejtik el a rosszindulatú szkripteket az SVG fájlokban.
A vizsgált esetekben az SVG fájlok olyan fájlnevekkel rendelkeztek, mint Play Voicemail Transcription.svg, MT103_0296626389_.svg vagy Access Document Remittance_RECEIPT6534114638.svg, amelyek célja a felhasználók megtévesztése és a fájlok megnyitásának ösztönzése. Ezekben a fájlokban a rosszindulatú szkriptek Base64 kódolással kerültek beágyazásra a <script>
tag src
attribútumán keresztül, ami megnehezíti a fájlok elemzését és a rosszindulatú tartalom felismerését.
A dekódolt szkriptek obfuszkált URL-ekre irányítják át a felhasználókat, amelyek gyakran CAPTCHA-oldalaknak álcázott rosszindulatú webhelyek. Ezek a weboldalak különböző technikákat alkalmaznak az elemzés megnehezítésére. A szkriptek ellenőrzik a user agent-et és más változókat, hogy észleljék a webes automatizációs eszközöket (pl. PhantomJS, Burp Suite), és ha ilyeneket találnak, üres oldalra irányítják át a felhasználót. Bizonyos billentyűkombinációk, mint például az F12 (fejlesztői eszközök megnyitása) vagy a Ctrl+U (forráskód megtekintése), le vannak tiltva, hogy megakadályozzák a felhasználókat a forráskód megtekintésében. A szkriptek megakadályozzák a jobb egérgombos kattintást, hogy a felhasználók ne férhessenek hozzá a kontextusmenü opcióihoz. A szkriptek mérik a kód végrehajtási idejét, és ha az túl hosszú, feltételezik, hogy hibakeresés folyik, és átirányítják a felhasználót egy másik oldalra.
Amennyiben a felhasználó sikeresen átjut ezeken a védelmi mechanizmusokon és rákattint a CAPTCHA-nak álcázott gombra, a szkript egy előre meghatározott URL-re küld kérést, amely további rosszindulatú tevékenységeket indíthat el.Bár a jelenlegi elemzés során nem volt elérhető válasz ezekre a kérésekre, korábbi hasonló esetekben a felhasználókat például a Microsoft bejelentkezési oldalának álcázott adathalász oldalakra irányították.