Злоумышленники подменяют аудиофайлы и документы на фальшивые формы входа.
Специалисты «Лаборатории Касперского» массовые фишинговые рассылки с вредоносными вложениями в формате SVG. По данным компании, такие атаки нацелены как на частных пользователей, так и на организации и преследуют цель — получить доступ к аккаунтам в сервисах Google и Microsoft. В марте 2025 года количество таких атак выросло почти в шесть раз по сравнению с предыдущим месяцем. Всего с начала года зафиксировано более 4000 подобных писем.
Формат SVG (Scalable Vector Graphics) используется для описания двумерной графики на основе XML и поддерживает интеграцию JavaScript и HTML, что делает его удобным для создания интерактивных элементов. Этой особенностью и пользуются злоумышленники, внедряя в файлы скрипты, ведущие на фишинговые ресурсы.
Сценарий атаки выглядит следующим образом: жертве приходит письмо с вложением в виде SVG-файла, который в действительности представляет собой HTML-страницу. При открытии такого файла в браузере пользователь видит интерфейс с кнопкой, предлагающей «прослушать аудиофайл». Нажатие на неё приводит к открытию поддельной страницы, внешне повторяющей Google Voice, где вместо воспроизведения звука появляется окно для ввода логина и пароля. Введённые данные перехватываются атакующими.
Альтернативный вариант рассылки маскирует файл под документ, требующий подписи. В этом случае SVG содержит JavaScript, автоматически перенаправляющий пользователя на сайт, копирующий страницу авторизации Microsoft. После ввода учётных данных они становятся доступными злоумышленникам.
По данным экспертов «Лаборатории Касперского», фишеры активно тестируют различные форматы вложений. В нынешней реализации атаки с использованием SVG-файлов устроены относительно просто: вредоносный код либо встроен непосредственно в файл, либо используется для перенаправления на поддельную страницу. В дальнейшем, отмечают специалисты, подобная техника может быть использована и в более сложных целевых атаках.
Подробнее:
Специалисты «Лаборатории Касперского» массовые фишинговые рассылки с вредоносными вложениями в формате SVG. По данным компании, такие атаки нацелены как на частных пользователей, так и на организации и преследуют цель — получить доступ к аккаунтам в сервисах Google и Microsoft. В марте 2025 года количество таких атак выросло почти в шесть раз по сравнению с предыдущим месяцем. Всего с начала года зафиксировано более 4000 подобных писем.
Формат SVG (Scalable Vector Graphics) используется для описания двумерной графики на основе XML и поддерживает интеграцию JavaScript и HTML, что делает его удобным для создания интерактивных элементов. Этой особенностью и пользуются злоумышленники, внедряя в файлы скрипты, ведущие на фишинговые ресурсы.
Сценарий атаки выглядит следующим образом: жертве приходит письмо с вложением в виде SVG-файла, который в действительности представляет собой HTML-страницу. При открытии такого файла в браузере пользователь видит интерфейс с кнопкой, предлагающей «прослушать аудиофайл». Нажатие на неё приводит к открытию поддельной страницы, внешне повторяющей Google Voice, где вместо воспроизведения звука появляется окно для ввода логина и пароля. Введённые данные перехватываются атакующими.
Альтернативный вариант рассылки маскирует файл под документ, требующий подписи. В этом случае SVG содержит JavaScript, автоматически перенаправляющий пользователя на сайт, копирующий страницу авторизации Microsoft. После ввода учётных данных они становятся доступными злоумышленникам.
По данным экспертов «Лаборатории Касперского», фишеры активно тестируют различные форматы вложений. В нынешней реализации атаки с использованием SVG-файлов устроены относительно просто: вредоносный код либо встроен непосредственно в файл, либо используется для перенаправления на поддельную страницу. В дальнейшем, отмечают специалисты, подобная техника может быть использована и в более сложных целевых атаках.
Подробнее:
