Onderzoekers hebben een nieuwe phishingcampagne ontdekt waarbij SVG-beeldbestanden schadelijke code bevatten.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Grootschalige phishingcampagne ontdekt: malware in SVG-afbeeldingen omzeilt antivirus
Bestanden in het SVG-formaat (Scalable Vector Graphics) worden gebruikt om lichte, schaalbare afbeeldingen weer te geven op websites en in documenten. Je zou dus niet verwachten dat je er omzichtig mee moet omspringen. Toch is dat het geval, omdat SVG’s eigenlijk tekstbestanden zijn die ook HTML en JavaScript kunnen bevatten. Daardoor lenen ze zich helaas ook tot misbruik.
Uit een nieuw onderzoek van VirusTotal, een platform van Google dat bestanden op malware scant, blijkt dat cybercriminelen steeds vaker SVG’s gebruiken om antivirussoftware om de tuin te leiden. Onderzoek bracht een phishingcampagne met meer dan 500 gemanipuleerde SVG-bestanden aan het licht. Die waren vermomd als officiële communicatie van de Colombiaanse justitie. In één geval leek het bestand effectief een juridisch bericht te bevatten. Wanneer de gebruiker het opende, verscheen er een overtuigend nepportaal met een voortgangsbalk en downloadknop. Wie daarop klikte, downloadde een ZIP-bestand met daarin een legitiem ondertekend programma (Comodo Dragon-browser), plus een verborgen malafide .dll-bestand. Zodra de browser werd gestart, werd het .dll-bestand ingeladen en kon er extra malware worden geïnstalleerd.
Volgens VirusTotal konden 44 van deze SVG’s door de mazen van het net glippen en werden ze dus niet opgemerkt door antivirusprogramma’s. De bestanden maakten gebruik van obfuscatie en grote hoeveelheden nepcode om detectie te bemoeilijken.
SVG’s al eerder misbruikt
Het is zeker niet voor het eerst dat SVG-bestanden op die manier misbruikt worden. Eerder dit jaar rapporteerde IBM X-Force phishingcampagnes met SVG’s die het gemunt hadden op banken en verzekeraars. Cloudflare zag dan weer een sterke toename in het gebruik van SVG’s als doorstuur- of phishingkits. Ook beveiligingsbedrijven als Sophos hebben inmiddels extra detectieregels toegevoegd nadat ze SVG’s ontdekten die hun filters wisten te omzeilen.
Softwaremakers lijken zich er nu gelukkig van bewust dat ze moeten schakelen. Microsoft heeft bijvoorbeeld aangekondigd dat inline SVG’s niet langer worden weergegeven in Outlook voor het web en de nieuwe Outlook-app. Waar vroeger de afbeelding verscheen, wordt nu een leeg vlak getoond. Daarmee verdwijnt een belangrijke aanvalsmethode uit e-mails. Tegelijkertijd wordt met dit onderzoek nog maar eens duidelijk dat SVG’s even gevaarlijk kunnen zijn als verdachte ZIP- of EXE-bestanden. Het advies luidt daarom om voorzichtig om te gaan met onbekende SVG-bestanden, zeker wanneer ze afkomstig zijn uit e-mails of van onbekende websites.
Volg Clickx op Google Nieuws om onze nieuwste artikels in je feed te krijgen. Vergeet niet om op ‘Volgen’ te klikken.
Abonneer op Clickx
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
