Phishing Bedrohung durch Scalable Vector Graphics (SVG)

Table of Contents

Laut Sophos wird in aktuellen Phishing-Kampagnen verstärkt das Grafikdateiformat SVG (Scalable Vector Graphics) missbraucht, um Schutzmechanismen von Mail-Gateways und Sicherheitslösungen zu umgehen. Die Dateien, die als Anhang in Spam-E-Mails verschickt werden, verweisen beim Öffnen im Browser (Standardprogramm unter Windows) auf externe Webseiten, hinter denen sich gefälschte Anmeldedialoge oder sogar Malware verbergen.

Hintergrund des Angriffs:

  • SVG als XML-Format: Anders als klassische Bildformate (JPEG, PNG, BMP) enthält eine SVG-Datei textbasierte Anweisungen in XML. Dadurch können Skripte (JavaScript), Hyperlinks und aktive Inhalte eingebettet werden.
  • Missbrauch durch Phishing-Akteure: Sobald die SVG-Datei im Browser geöffnet wird, erscheint eine präparierte Grafik bzw. ein Klicklink, der den Nutzer auf eine betrügerische Webseite leitet. Teilweise werden CAPTCHA-Abfragen genutzt, um automatisierte Analysen zu unterbinden. Dort werden Zugangsdaten abgefragt, die oft direkt an Angreifer-Server weitergeleitet werden.

Beispiele aus den beobachteten Angriffen:

  • Fake-Voicemail/E-Fax-Nachrichten: E-Mails behaupten, es läge eine neue Voicemail oder ein Fax vor. Das angebliche Dokument liegt als SVG-Anhang bei. Öffnet das Opfer die Datei, landet es auf einer nachgebauten Login-Seite (z. B. Office365, Google Voice), die Anmeldedaten stiehlt.
  • Lokale Malware-Installation: In einigen Fällen enthielt die SVG-Datei Base64-codierte ZIP-Archive mit passwortgeschützten Schadprogrammen (z. B. Keylogger).
  • Lokalisierte Phishing-Seiten: Angriffe richten sich z. B. an japanische Universitäten und präsentieren entsprechend lokalisierte Dropbox-Fakes.
  • Umgehung von Sicherheitssystemen: Statt bekannter Marken-Domains (etwa microsoft.com) sind die Phishing-Seiten auf ungewöhnlichen oder fremdländischen TLDs (z. B. *.ru) gehostet und per Cloudflare-CAPTCHA geschützt.

Empfohlene Schutzmaßnahmen:

  1. Dateizuordnung ändern: Standardmäßiges Öffnen von SVG-Dateien in einem Texteditor (Notepad) statt im Browser verhindert ungewollte aktive Inhalte.
  2. URL-Prüfung: Misstrauische Domains (z. B. ungewohnte TLDs) oder fehlerhafte Markennamen im Link sind klare Warnsignale.
  3. E-Mail-Gewohnheiten schärfen: Anhänge von unbekannten Absendern oder unerwartete Betreffzeilen (z. B. angebliche Voicemails, Verträge) kritisch hinterfragen.
  4. Sicherheitslösungen aktualisieren: Aktuelle Antivirus- und Anti-Phishing-Regeln oder Signaturen, die speziell auf bösartige SVG-Dateien abzielen, bieten effektiven Schutz.

Dieser neuartige Missbrauch des SVG-Formats zeigt, wie Phishing-Gruppen laufend alternative Techniken entwickeln, um Nutzende zu täuschen und etablierte Sicherheitsmaßnahmen zu umgehen. Ein achtsamer Umgang mit E-Mail-Anhängen und ein geschultes Auge für auffällige URLs bleiben der beste Schutz vor solchen Angriffen.

Related Posts

Active Directory Domain Services Schwachstelle CVE-2025-21293 zur Privilegienerweiterung

Im September 2024 entdeckte der Sicherheitsforscher BirkeP eine Sicherheitslücke in Active Directory Domain Services (AD DS), die zur Privilegienerweiterung genutzt werden kann. Die Schwachstelle CVE-2025-21293 wurde durch die Untersuchung der integrierten “Network Configuration Operators”-Gruppe identifiziert, die erweiterte Rechte auf bestimmte Registry-Schlüssel besitzt. Dies ermöglichte es Angreifern, durch das Manipulieren von Performance Counter-Daten Schadcode mit SYSTEM-Rechten auszuführen.

Read More

Kritische Sicherheitslücken in HP Universal Print Driver Series

HP hat kritische Schwachstellen in seiner HP Universal Print Driver Series (PCL 6 und PostScript) geschlossen. Betroffen sind die Bibliotheken libjpeg, libpng, OpenSSL und zlib. Durch diese Schwachstellen kann es unter anderem zu Arbitrary Code Execution, Denial of Service oder Information Disclosure kommen.

Read More

Sicherheitslücken in Vaultwarden: Privilegieneskalation und Admin-Panel-Übernahme

In Vaultwarden, einer beliebten Open-Source-Alternative zu Bitwarden, wurden drei schwerwiegende Sicherheitslücken entdeckt, die es Angreifern ermöglichen, administrative Kontrolle über fremde Organisationen zu erlangen oder das Admin-Panel unautorisiert zu manipulieren. Betroffen sind alle Versionen bis einschließlich 1.32.7, die Schwachstellen wurden in Version 1.33.0 behoben.

Read More