Hackers utilizam anexos SVG em e-mails de phishing para evitar detecção por softwares de segurança

Diferentemente de imagens em formatos como JPG ou PNG, que são baseadas em pixels, os arquivos SVG utilizam gráficos vetoriais compostos por linhas, formas e textos descritos por fórmulas matemáticas. Essa característica permite redimensionar as imagens sem perda de qualidade, tornando o formato ideal para navegadores com diferentes resoluções.

Os arquivos SVG, no entanto, também podem conter elementos como gráficos, HTML e JavaScript. Hackers aproveitam essas funcionalidades para criar anexos que exibem não apenas imagens, mas também formulários de phishing projetados para roubar credenciais. Em um exemplo documentado, um arquivo SVG disfarçado de planilha Excel apresentava um formulário de login que, ao ser preenchido, enviava os dados diretamente aos criminosos. Em outros casos, os anexos simulam documentos oficiais ou solicitam ações como clicar em botões de download, que levam ao download de malware hospedado remotamente.

Algumas campanhas utilizam JavaScript embutido nos arquivos SVG para redirecionar automaticamente os navegadores a sites de phishing ao abrir a imagem. Por serem majoritariamente representações textuais de imagens, esses arquivos têm taxas de detecção extremamente baixas por softwares de segurança, muitas vezes identificados por apenas uma ou duas ferramentas de proteção.

Recomenda-se cautela com e-mails que contenham anexos em formato SVG, uma vez que eles raramente são utilizados em comunicações legítimas.

Já cheguei a explorar projetos onde o XSS era feito no CSS da página exatamente com SVG.

Mas essa de colocar formulário para phishing é além do que eu do que eu pude pensar.

.. também podem conter elementos como gráficos, HTML e JavaScript.

😮Nunca soube disso, nem imaginava JavaScript 🚨 em imagens do tipo SVG.