Os invasores estão cada vez mais a utilizar ficheiros SVG com JavaScript incorporado e cargas úteis codificadas em Base64 para distribuir páginas de phishing e malware, evitando a deteção tradicional. A tecnologia Deep CDR™, uma das principais tecnologias que alimenta MetaDefender , neutraliza este tipo de ataque removendo todo o conteúdo ativo (scripts, referências externas, manipuladores de eventos, etc.) e fornecendo uma imagem limpa e em conformidade com as normas, que preserva a funcionalidade e elimina o risco. SVGs (Scalable Vector Graphics) normais e confiáveis não precisam de JavaScript, portanto, ele é removido por padrão.
Porquê SVG
O veículo perfeito para cargas úteis de phishing
O SVG é um formato de imagem vetorial baseado em XML e não um simples mapa de bits.
Um ficheiro SVG pode incluir:
- Scripts
- Manipuladores de eventos
- Referências externas
Estas caraterísticas são úteis para gráficos interactivos, mas os atacantes exploram-nas para:
- Executar código malicioso
- Injetar dados XML maliciosos
- Obter conteúdo externo
- Apresentar páginas de início de sessão falsas
Os atacantes também combinam SVGs com contrabando de HTML/JS, incorporando payloads Base64 em imagens aparentemente inofensivas e descodificando-as em tempo de execução. Esta técnica é agora formalmente registada como MITRE ATT&CK "SVG Smuggling" (T1027.017).
Principais conclusões
In normal enterprise content workflows (logos, icons, diagrams), SVGs don’t require JavaScript or active content. If you find <script>, event handlers, or remote references in an inbound SVG, treat them as risky.
O que estamos a ver na natureza
Anexo de e-mail com phishing codificado em Base64
- Entrega: Uma mensagem de correio eletrónico de rotina contém um anexo .svg que muitos gateways de correio eletrónico tratam como uma imagem.
- Technique: Inside the SVG, an obfuscated <script> reconstructs a phishing page from a Base64 blob and loads it in the browser.
Site de Drive que utiliza manipuladores de eventos para redireccionamento
- Entrega: Um site comprometido ou com erros de digitação utiliza uma sobreposição SVG transparente com regiões clicáveis.
- Técnica: Os atributos de eventos (onload, onclick) accionam redireccionamentos utilizando a descodificação Base64.
Porque é que a Deteção tem dificuldades aqui
As abordagens tradicionais, como assinaturas, regras de padrões e inspeção estática do código, falham quando os atacantes:
- Ofuscar com Base64, XOR, preenchimento de texto inútil ou modelos polimórficos.
- Adiar a execução até ao tempo de execução (por exemplo, onload), tornando a análise estática pouco fiável.
- Ocultar a lógica por detrás de funcionalidades SVG legítimas, como manipuladores de eventos e referências externas.
Facto interessante
O SVG é utilizado por 92% dos 1000 principais sítios Web para ícones e gráficos, de acordo com os dados do Arquivo HTTP.
"Se é ativo, é arriscado"
Tecnologia Deep CDR™ para SVG
A tecnologia Deep CDR™, uma das principais tecnologias que alimenta MetaDefender Core, não tenta adivinhar o que é malicioso. Ela assume que qualquer conteúdo executável ou ativo em ficheiros não confiáveis é arriscado e remove ou limpa-o.
Para SVGs, isso significa:
- Remove JavaScript: Strips out any <script> elements and inline scripts to prevent code execution.
- Remover CDATA: Elimina o código oculto dentro das secções CDATA que podem incorporar lógica prejudicial.
- Remover Injeção: Bloqueia conteúdo injetado que poderia executar programas maliciosos.
- Processar imagem: Sanitiza recursivamente imagens incorporadas e remove imagens externas.
- Normalizar e reconstruir: Cria um SVG em conformidade com as normas, apenas com elementos visuais seguros.
- Opcionalmente, rasterizar: Converte SVG em PNG ou PDF para fluxos de trabalho que não requerem interatividade vetorial.
Esta abordagem está em conformidade com as diretrizes de segurança: sanitizar ou colocar SVGs em sandbox (ou rasterizá-los) para impedir a execução de código.
Principais casos de uso com a tecnologia Deep CDR™
Gateways de correio eletrónico
Sanitize anexos de entrada e arquivos vinculados (URLs resolvidos via download) antes da entrega. Os SVGs convertidos em SVGs limpos impedem a renderização dos harvesters de credenciais e o disparo dos downloaders.
Plataformas de colaboração
Aplique a tecnologia Deep CDR™ a ficheiros partilhados através de ferramentas como Teams, Slack ou SharePoint. A higienização de SVGs garante que nenhuma tela de login oculta ou script malicioso possa enganar os utilizadores durante a colaboração diária.
Portais de carregamento na Web
Imponha a sanitização em todos os ficheiros carregados para os seus sítios Web, CMS ou sistemas de gestão de activos digitais. Isto evita que os atacantes escondam código prejudicial no que parece ser um simples logótipo ou gráfico.
Transferência de ficheiros e MFT Managed File Transfer)
Integre a tecnologia Deep CDR™ nos fluxos de trabalho de transferência de ficheiros para que todos os ficheiros, especialmente aqueles provenientes de parceiros ou fornecedores, sejam seguros para uso antes de entrar na sua rede. Isso reduz os riscos da cadeia de abastecimento decorrentes de ativos comprometidos.
Impacto nas empresas
Ignorar a higienização de SVG pode levar a:
- Roubo de credenciais: As páginas de início de sessão falsas recolhem as credenciais do utilizador.
- Infecções por malware: As cadeias de redireccionamento fornecem ransomware ou stealers.
- Violações de conformidade: As violações que envolvem dados sensíveis podem originar coimas e danos para a reputação.
Melhores práticas para evitar ataques baseados em SVG
- Posição predefinida: Não utilizar JavaScript em SVG de fontes não fidedignas.
- Higienizar ou rasterizar: aplique a tecnologia Deep CDR™ a todos os ficheiros SVG recebidos.
- Combinado com CSP: Utilizar como defesa em profundidade, não como controlo primário.
- Auditoria e registo: Acompanhe todas as acções de higienização para fins de conformidade e análise forense.
Reflexões finais
O phishing baseado em SVG não é teórico, está a acontecer agora. As ferramentas baseadas em detecção não conseguem acompanhar as técnicas de ofuscação em constante evolução. A tecnologia Deep CDR™ oferece uma abordagem determinística e de confiança zero, eliminando o risco antes que ele chegue aos seus utilizadores.
