Laut Sophos wird in aktuellen Phishing-Kampagnen verstärkt das Grafikdateiformat SVG (Scalable Vector Graphics) missbraucht, um Schutzmechanismen von Mail-Gateways und Sicherheitslösungen zu umgehen. Die Dateien, die als Anhang in Spam-E-Mails verschickt werden, verweisen beim Öffnen im Browser (Standardprogramm unter Windows) auf externe Webseiten, hinter denen sich gefälschte Anmeldedialoge oder sogar Malware verbergen.
Hintergrund des Angriffs:
- SVG als XML-Format: Anders als klassische Bildformate (JPEG, PNG, BMP) enthält eine SVG-Datei textbasierte Anweisungen in XML. Dadurch können Skripte (JavaScript), Hyperlinks und aktive Inhalte eingebettet werden.
- Missbrauch durch Phishing-Akteure: Sobald die SVG-Datei im Browser geöffnet wird, erscheint eine präparierte Grafik bzw. ein Klicklink, der den Nutzer auf eine betrügerische Webseite leitet. Teilweise werden CAPTCHA-Abfragen genutzt, um automatisierte Analysen zu unterbinden. Dort werden Zugangsdaten abgefragt, die oft direkt an Angreifer-Server weitergeleitet werden.
Beispiele aus den beobachteten Angriffen:
- Fake-Voicemail/E-Fax-Nachrichten: E-Mails behaupten, es läge eine neue Voicemail oder ein Fax vor. Das angebliche Dokument liegt als SVG-Anhang bei. Öffnet das Opfer die Datei, landet es auf einer nachgebauten Login-Seite (z. B. Office365, Google Voice), die Anmeldedaten stiehlt.
- Lokale Malware-Installation: In einigen Fällen enthielt die SVG-Datei Base64-codierte ZIP-Archive mit passwortgeschützten Schadprogrammen (z. B. Keylogger).
- Lokalisierte Phishing-Seiten: Angriffe richten sich z. B. an japanische Universitäten und präsentieren entsprechend lokalisierte Dropbox-Fakes.
- Umgehung von Sicherheitssystemen: Statt bekannter Marken-Domains (etwa microsoft.com) sind die Phishing-Seiten auf ungewöhnlichen oder fremdländischen TLDs (z. B. *.ru) gehostet und per Cloudflare-CAPTCHA geschützt.
Empfohlene Schutzmaßnahmen:
- Dateizuordnung ändern: Standardmäßiges Öffnen von SVG-Dateien in einem Texteditor (Notepad) statt im Browser verhindert ungewollte aktive Inhalte.
- URL-Prüfung: Misstrauische Domains (z. B. ungewohnte TLDs) oder fehlerhafte Markennamen im Link sind klare Warnsignale.
- E-Mail-Gewohnheiten schärfen: Anhänge von unbekannten Absendern oder unerwartete Betreffzeilen (z. B. angebliche Voicemails, Verträge) kritisch hinterfragen.
- Sicherheitslösungen aktualisieren: Aktuelle Antivirus- und Anti-Phishing-Regeln oder Signaturen, die speziell auf bösartige SVG-Dateien abzielen, bieten effektiven Schutz.
Dieser neuartige Missbrauch des SVG-Formats zeigt, wie Phishing-Gruppen laufend alternative Techniken entwickeln, um Nutzende zu täuschen und etablierte Sicherheitsmaßnahmen zu umgehen. Ein achtsamer Umgang mit E-Mail-Anhängen und ein geschultes Auge für auffällige URLs bleiben der beste Schutz vor solchen Angriffen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: