Os atacantes cada vez mais utilizam arquivos SVG com JavaScript incorporado e cargas codificadas em Base64 para entregar páginas de phishing e malware, evitando a deteção tradicional. O Deep CDR™, uma das principais tecnologias que alimenta MetaDefender Core™, neutraliza essa classe de ataque removendo todo o conteúdo ativo (scripts, referências externas, manipuladores de eventos, etc.) e fornecendo uma imagem limpa e compatível com os padrões que preserva a funcionalidade e elimina o risco. Os SVGs (Scalable Vetor Graphics) normais e fiáveis não necessitam de JavaScript, pelo que este é removido por predefinição.
Porquê SVG
O veículo perfeito para cargas úteis de phishing
O SVG é um formato de imagem vetorial baseado em XML e não um simples mapa de bits.
Um ficheiro SVG pode incluir:
- Scripts
- Manipuladores de eventos
- Referências externas
Estas caraterísticas são úteis para gráficos interactivos, mas os atacantes exploram-nas para:
- Executar código malicioso
- Injetar dados XML maliciosos
- Obter conteúdo externo
- Apresentar páginas de início de sessão falsas
Os atacantes também combinam SVGs com contrabando de HTML/JS, incorporando payloads Base64 em imagens aparentemente inofensivas e descodificando-as em tempo de execução. Esta técnica é agora formalmente registada como MITRE ATT&CK "SVG Smuggling" (T1027.017).
Principais conclusões
In normal enterprise content workflows (logos, icons, diagrams), SVGs don’t require JavaScript or active content. If you find <script>, event handlers, or remote references in an inbound SVG, treat them as risky.
O que estamos a ver na natureza
Anexo de e-mail com phishing codificado em Base64
- Entrega: Uma mensagem de correio eletrónico de rotina contém um anexo .svg que muitos gateways de correio eletrónico tratam como uma imagem.
- Technique: Inside the SVG, an obfuscated <script> reconstructs a phishing page from a Base64 blob and loads it in the browser.
Site de Drive que utiliza manipuladores de eventos para redireccionamento
- Entrega: Um site comprometido ou com erros de digitação utiliza uma sobreposição SVG transparente com regiões clicáveis.
- Técnica: Os atributos de eventos (onload, onclick) accionam redireccionamentos utilizando a descodificação Base64.
Porque é que a Deteção tem dificuldades aqui
As abordagens tradicionais, como assinaturas, regras de padrões e inspeção estática do código, falham quando os atacantes:
- Ofuscar com Base64, XOR, preenchimento de texto inútil ou modelos polimórficos.
- Adiar a execução até ao tempo de execução (por exemplo, onload), tornando a análise estática pouco fiável.
- Ocultar a lógica por detrás de funcionalidades SVG legítimas, como manipuladores de eventos e referências externas.
Facto interessante
O SVG é utilizado por 92% dos 1000 principais sítios Web para ícones e gráficos, de acordo com os dados do Arquivo HTTP.
"Se é ativo, é arriscado"
Deep CDR para SVG
Deep CDR, uma das principais tecnologias que alimenta MetaDefender Core, não tenta adivinhar o que é malicioso. Assume que qualquer conteúdo executável ou ativo em ficheiros não confiáveis é arriscado e remove-o ou higieniza-o.
Para SVGs, isso significa:
- Remove JavaScript: Strips out any <script> elements and inline scripts to prevent code execution.
- Remover CDATA: Elimina o código oculto dentro das secções CDATA que podem incorporar lógica prejudicial.
- Remover Injeção: Bloqueia conteúdo injetado que poderia executar programas maliciosos.
- Processar imagem: Sanitiza recursivamente imagens incorporadas e remove imagens externas.
- Normalizar e reconstruir: Cria um SVG em conformidade com as normas, apenas com elementos visuais seguros.
- Opcionalmente, rasterizar: Converte SVG em PNG ou PDF para fluxos de trabalho que não requerem interatividade vetorial.
Esta abordagem está em conformidade com as diretrizes de segurança: sanitizar ou colocar SVGs em sandbox (ou rasterizá-los) para impedir a execução de código.
Principais casos de uso com Deep CDR
Gateways de correio eletrónico
Sanitize anexos de entrada e arquivos vinculados (URLs resolvidos via download) antes da entrega. Os SVGs convertidos em SVGs limpos impedem a renderização dos harvesters de credenciais e o disparo dos downloaders.
Plataformas de colaboração
Aplique Deep CDR a arquivos compartilhados por meio de ferramentas como Teams, Slack ou SharePoint. A sanitização de SVGs aqui garante que nenhuma tela de login oculta ou scripts maliciosos possam enganar os usuários durante a colaboração diária.
Portais de carregamento na Web
Imponha a sanitização em todos os ficheiros carregados para os seus sítios Web, CMS ou sistemas de gestão de activos digitais. Isto evita que os atacantes escondam código prejudicial no que parece ser um simples logótipo ou gráfico.
Transferência de ficheiros e MFT Managed File Transfer)
Integre o Deep CDR aos fluxos de trabalho de transferência de arquivos para que todos os arquivos, especialmente os de parceiros ou fornecedores, sejam seguros antes de entrar na sua rede. Isso reduz os riscos da cadeia de suprimentos de ativos comprometidos.
Impacto nas empresas
Ignorar a higienização de SVG pode levar a:
- Roubo de credenciais: As páginas de início de sessão falsas recolhem as credenciais do utilizador.
- Infecções por malware: As cadeias de redireccionamento fornecem ransomware ou stealers.
- Violações de conformidade: As violações que envolvem dados sensíveis podem originar coimas e danos para a reputação.
Melhores práticas para evitar ataques baseados em SVG
- Posição predefinida: Não utilizar JavaScript em SVG de fontes não fidedignas.
- Sanitize ou rasterize: Aplicar Deep CDR a todos os ficheiros SVG de entrada.
- Combinado com CSP: Utilizar como defesa em profundidade, não como controlo primário.
- Auditoria e registo: Acompanhe todas as acções de higienização para fins de conformidade e análise forense.
Reflexões finais
O phishing baseado em SVG não é teórico, está a acontecer agora. As ferramentas baseadas em deteção não conseguem acompanhar a evolução das técnicas de ofuscação. Deep CDR oferece uma abordagem determinística e de confiança zero, removendo o risco antes que ele chegue aos seus usuários.
