Das österreichische CERT (Computer Emergency Response Team) warnt vor stark zunehmenden Phishing-Kampagnen, bei denen manipulierte SVG-Dateien (Scalable Vector Graphics) als E-Mail-Anhänge verwendet werden. Diese Angriffsmethode wird seit mehreren Monaten verstärkt beobachtet und stellt eine ernsthafte Bedrohung dar, da SVG-Dateien von vielen Sicherheitslösungen nicht ausreichend geprüft werden.
Auswirkungen
Durch das Öffnen manipulierter SVG-Dateien können Angreifer:
- JavaScript-Code auf dem System des Opfers ausführen
- Schadsoftware nachladen und installieren
- Phishing-Formulare direkt in der SVG-Datei anzeigen
- Automatische Weiterleitungen zu bösartigen Webseiten auslösen
- Zugangsdaten und andere sensible Informationen stehlen
Technische Details
SVG-Dateien sind XML-basierte Textdateien zur Darstellung von Vektorgrafiken. Angreifer nutzen folgende Eigenschaften aus:
- Eingebettetes JavaScript: SVG-Dateien können script-Tags enthalten, die JavaScript-Code ausführen
- ForeignObject-Element: Ermöglicht die Einbettung von HTML-Inhalten und interaktiven Formularen direkt in der SVG-Datei
- Automatische Ausführung: Beim Öffnen der SVG-Datei im Browser wird eingebetteter Code automatisch ausgeführt
- Geringe Erkennungsrate: Da SVG-Dateien hauptsächlich aus Text bestehen, werden sie von vielen Antivirenprogrammen nicht als verdächtig eingestuft
- Die Angreifer verwenden verschiedene Verschleierungstechniken wie Unicode-Escape-Encoding und String-Verkettung, um die Erkennung weiter zu erschweren
Aktuelle Kampagne: Strela Stealer
CERT.at beobachtet derzeit verstärkt SVG-basierte Phishing-Kampagnen in Österreich, die den Strela Stealer verbreiten. Diese Schadsoftware ist speziell darauf ausgelegt, E-Mail-Zugangsdaten zu stehlen.
Ablauf der Infektion
SVG-Anhang: Opfer erhalten eine E-Mail mit einer manipulierten SVG-Datei als Anhang (aktuell z.B. Rechnung_.svg).
JavaScript-Ausführung: Das in der SVG eingebettete JavaScript wird beim Öffnen (nach minimaler Interaktion durch das Opfer) ausgeführt.
ZIP-Download: Das JavaScript lädt automatisch eine ZIP-Datei herunter.
JScript-Loader: Die ZIP-Datei enthält eine JScript-Datei, die als Loader fungiert.
Payload-Download: Bei positiver Prüfung wird die eigentliche Schadfunktionalität (aktuell Powershell-Scripts) nachgeladen.
Besonderheiten
Strela Stealer zielt auf Mozilla Thunderbird und Microsoft Outlook (Authentifizierungs-Daten, potentielle Exfiltration von E-Mails) und kann Screenshots anfertigen, verwendet mehrstufige Verschleierung und Anti-Analyse-Techniken und exfiltriert gestohlene Daten über HTTP POST an Command-and-Control-Server.
Betroffene Systeme
Alle Systeme und Anwendungen die SVG-Dateien rendern und JavaScript ausführen können – insbesondere Webbrowser und E-Mail Clients.
Abhilfe
SVG-Dateien in E-Mail-Anhängen generell als verdächtig behandeln.
E-Mail-Filter so konfigurieren, dass SVG-Anhänge blockiert oder in Quarantäne verschoben werden. (Achtung: Da SVG-Dateien allgemein durchaus in normaler E-Mail Kommunikation genutzt werden, ist dies zwar eine wirksame, aber vielleicht für normale Geschäftsabläufe hinderliche Methode, die zuvor abhängig der Organisations-Parameter geprüft werden sollte.)
Mitarbeiter:innen über diese Angriffsmethode informieren und sensibilisieren
Empfehlung
Nutzen Sie zum Teilen von SVG-Dateien ein sicheres File Sharing-System.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
