12. Juni 2025
Beschreibung
CERT.at warnt vor stark zunehmenden Phishing-Kampagnen, bei denen
manipulierte SVG-Dateien (Scalable Vector Graphics) als E-Mail-Anhänge
verwendet werden. Diese Angriffsmethode wird seit mehreren Monaten
verstärkt beobachtet und stellt eine ernsthafte Bedrohung dar, da
SVG-Dateien von vielen Sicherheitslösungen nicht ausreichend geprüft
werden.
Auswirkungen
Durch das Öffnen manipulierter SVG-Dateien können Angreifer:
* JavaScript-Code auf dem System des Opfers ausführen.
* Schadsoftware nachladen und installieren.
* Phishing-Formulare direkt in der SVG-Datei anzeigen.
* Automatische Weiterleitungen zu bösartigen Webseiten auslösen.
* Zugangsdaten und andere sensible Informationen stehlen.
Technische Details
SVG-Dateien sind XML-basierte Textdateien zur Darstellung von
Vektorgrafiken. Angreifer nutzen folgende Eigenschaften aus:
* Eingebettetes JavaScript: SVG-Dateien können script-Tags enthalten,
die JavaScript-Code ausführen.
* ForeignObject-Element: Ermöglicht die Einbettung von HTML-Inhalten
und interaktiven Formularen direkt in der SVG-Datei.
* Automatische Ausführung: Beim Öffnen der SVG-Datei im Browser wird
eingebetteter Code automatisch ausgeführt.
* Geringe Erkennungsrate: Da SVG-Dateien hauptsächlich aus Text
bestehen, werden sie von vielen Antivirenprogrammen nicht als
verdächtig eingestuft.
Die Angreifer verwenden verschiedene Verschleierungstechniken wie
Unicode-Escape-Encoding und String-Verkettung, um die Erkennung weiter
zu erschweren.
Aktuelle Kampagne: Strela Stealer
CERT.at beobachtet derzeit verstärkt SVG-basierte Phishing-Kampagnen in
Österreich, die den Strela Stealer verbreiten. Diese Schadsoftware ist
speziell darauf ausgelegt, E-Mail-Zugangsdaten zu stehlen.
Ablauf der Infektion:
* SVG-Anhang: Opfer erhalten eine E-Mail mit einer manipulierten
SVG-Datei als Anhang (aktuell z.B. Rechnung_<xyz/Nummer>.svg).
* JavaScript-Ausführung: Das in der SVG eingebettete JavaScript wird
beim Öffnen (nach minimaler Interaktion durch das Opfer)
ausgeführt.
* ZIP-Download: Das JavaScript lädt automatisch eine ZIP-Datei
herunter.
* JScript-Loader: Die ZIP-Datei enthält eine JScript-Datei, die als
Loader fungiert.
* Payload-Download: Bei positiver Prüfung wird die eigentliche
Schadfunktionalität (aktuell Powershell-Scripts) nachgeladen.
Besonderheiten:
* Strela Stealer zielt auf Mozilla Thunderbird und Microsoft Outlook
(Authentifizierungs-Daten, potentielle Exfiltration von E-Mails)
und kann Screenshots anfertigen.
* Verwendet mehrstufige Verschleierung und Anti-Analyse-Techniken.
* Exfiltriert gestohlene Daten über HTTP POST an
Command-and-Control-Server.
Betroffene Systeme
* Alle Systeme und Anwendungen die SVG-Dateien rendern und JavaScript
ausführen können - insbesondere Webbrowser und E-Mail Clients.
Abhilfe
Sofortmaßnahmen:
* SVG-Dateien in E-Mail-Anhängen generell als verdächtig behandeln.
* E-Mail-Filter so konfigurieren, dass SVG-Anhänge blockiert oder in
Quarantäne verschoben werden. (Achtung: Da SVG-Dateien allgemein
durchaus in normaler E-Mail Kommunikation genutzt werden, ist dies
zwar eine wirksame, aber vielleicht für normale Geschäftsabläufe
hinderliche Methode, die zuvor abhängig der Organisations-Parameter
geprüft werden sollte.)
* Mitarbeiter:innen über diese Angriffsmethode informieren und
sensibilisieren.
__________________________________________________________________
Informationsquelle(n):
Blog-Artikel von IBM (Englisch):
https://www.ibm.com/think/x-force/weaponized-svgs-inside-a-global-phishing-…
Artikel von Bleepingcomputer (Englisch):
https://www.bleepingcomputer.com/news/security/phishing-emails-increasingly…
Blog-Artikel zu JS in SVGs (Englisch):
https://davidwalsh.name/javascript-in-svgs
Blog-Artikel zu einer früheren StrelaStealer Kampagne von Trustwave
(Englisch):
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/a-deep-dive…
--
// Erik Huemer <huemer(a)cert.at> - T: +43 1 5056416 767
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien