12. Juni 2025
Beschreibung
CERT.at warnt vor stark zunehmenden Phishing-Kampagnen, bei denen manipulierte SVG-Dateien (Scalable Vector Graphics) als E-Mail-Anhänge verwendet werden. Diese Angriffsmethode wird seit mehreren Monaten verstärkt beobachtet und stellt eine ernsthafte Bedrohung dar, da SVG-Dateien von vielen Sicherheitslösungen nicht ausreichend geprüft werden.
Auswirkungen
Durch das Öffnen manipulierter SVG-Dateien können Angreifer: * JavaScript-Code auf dem System des Opfers ausführen. * Schadsoftware nachladen und installieren. * Phishing-Formulare direkt in der SVG-Datei anzeigen. * Automatische Weiterleitungen zu bösartigen Webseiten auslösen. * Zugangsdaten und andere sensible Informationen stehlen.
Technische Details
SVG-Dateien sind XML-basierte Textdateien zur Darstellung von Vektorgrafiken. Angreifer nutzen folgende Eigenschaften aus: * Eingebettetes JavaScript: SVG-Dateien können script-Tags enthalten, die JavaScript-Code ausführen. * ForeignObject-Element: Ermöglicht die Einbettung von HTML-Inhalten und interaktiven Formularen direkt in der SVG-Datei. * Automatische Ausführung: Beim Öffnen der SVG-Datei im Browser wird eingebetteter Code automatisch ausgeführt. * Geringe Erkennungsrate: Da SVG-Dateien hauptsächlich aus Text bestehen, werden sie von vielen Antivirenprogrammen nicht als verdächtig eingestuft.
Die Angreifer verwenden verschiedene Verschleierungstechniken wie Unicode-Escape-Encoding und String-Verkettung, um die Erkennung weiter zu erschweren.
Aktuelle Kampagne: Strela Stealer
CERT.at beobachtet derzeit verstärkt SVG-basierte Phishing-Kampagnen in Österreich, die den Strela Stealer verbreiten. Diese Schadsoftware ist speziell darauf ausgelegt, E-Mail-Zugangsdaten zu stehlen.
Ablauf der Infektion:
* SVG-Anhang: Opfer erhalten eine E-Mail mit einer manipulierten SVG-Datei als Anhang (aktuell z.B. Rechnung_<xyz/Nummer>.svg). * JavaScript-Ausführung: Das in der SVG eingebettete JavaScript wird beim Öffnen (nach minimaler Interaktion durch das Opfer) ausgeführt. * ZIP-Download: Das JavaScript lädt automatisch eine ZIP-Datei herunter. * JScript-Loader: Die ZIP-Datei enthält eine JScript-Datei, die als Loader fungiert. * Payload-Download: Bei positiver Prüfung wird die eigentliche Schadfunktionalität (aktuell Powershell-Scripts) nachgeladen.
Besonderheiten:
* Strela Stealer zielt auf Mozilla Thunderbird und Microsoft Outlook (Authentifizierungs-Daten, potentielle Exfiltration von E-Mails) und kann Screenshots anfertigen. * Verwendet mehrstufige Verschleierung und Anti-Analyse-Techniken. * Exfiltriert gestohlene Daten über HTTP POST an Command-and-Control-Server.
Betroffene Systeme
* Alle Systeme und Anwendungen die SVG-Dateien rendern und JavaScript ausführen können - insbesondere Webbrowser und E-Mail Clients.
Abhilfe
Sofortmaßnahmen: * SVG-Dateien in E-Mail-Anhängen generell als verdächtig behandeln. * E-Mail-Filter so konfigurieren, dass SVG-Anhänge blockiert oder in Quarantäne verschoben werden. (Achtung: Da SVG-Dateien allgemein durchaus in normaler E-Mail Kommunikation genutzt werden, ist dies zwar eine wirksame, aber vielleicht für normale Geschäftsabläufe hinderliche Methode, die zuvor abhängig der Organisations-Parameter geprüft werden sollte.) * Mitarbeiter:innen über diese Angriffsmethode informieren und sensibilisieren. __________________________________________________________________
Informationsquelle(n):
Blog-Artikel von IBM (Englisch): https://www.ibm.com/think/x-force/weaponized-svgs-inside-a-global-phishing-c...
Artikel von Bleepingcomputer (Englisch): https://www.bleepingcomputer.com/news/security/phishing-emails-increasingly-...
Blog-Artikel zu JS in SVGs (Englisch): https://davidwalsh.name/javascript-in-svgs
Blog-Artikel zu einer früheren StrelaStealer Kampagne von Trustwave (Englisch): https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/a-deep-dive-...