SVGファイルを利用してJavaScriptベースのリダイレクト攻撃を仕掛ける新たなフィッシングキャンペーンが、サイバーセキュリティ研究者によって発見されました。
この攻撃は、一見無害な画像ファイルを利用して難読化されたスクリプトロジックを隠し、ファイルのダウンロードやユーザーの操作を必要とせずに、ユーザーを悪意のあるドメインへリダイレクトします。
本日Ontinueが発表した新たなアドバイザリによると、従来の実行ファイルをドロップしたりマクロ付きドキュメントを使用するフィッシング手法とは異なり、このキャンペーンではSVGファイルの
ブラウザで開かれると、コードは静的なXORキーを使って二次ペイロードを復号し、その後window.location.href関数を通じてユーザーを攻撃者が管理するサイトへリダイレクトします。これらのURLには、被害者の追跡のためにBase64でエンコードされた文字列が含まれていることがよくあります。
これらのSVGを配布するメールは、正規ブランドを模倣したなりすましアドレスやドメインを使って送信されます。多くの受信者ドメインでは、以下を含む適切なメール認証制御が欠如していました:
-
DKIMレコードなし
-
DMARCポリシーの未設定または未適用
-
SPF設定の誤構成
「これは、画像ファイルを使って疑わしいコンテンツ(今回は悪意のあるPDF)を配信する手法の新たなバリエーションです」と、Bambenek Consulting社長のジョン・バンベネック氏は述べています。
「攻撃者は『ただの画像であり、コードは実行されない』という油断に頼り、組織がこのコンテンツを受け入れてネットワーク内部に持ち込むことを狙っています。」
回避およびインフラ戦術
攻撃者はランディングページにジオフェンシングを組み込み、短命かつランダムなドメインを使用して静的な検知技術を回避しています。ペイロードは外部にホストされるか、メールに直接添付されることが多く、メッセージ本文の内容は最小限に抑えられて疑念を避けています。
企業インフラを標的としたフィッシング手法の詳細はこちら:精密検証型フィッシングが認証情報窃取リスクを高める
以前のSVGベースの脅威がホスト型ペイロードやサードパーティのファイル共有に依存していたのとは異なり、このキャンペーンはクライアントのブラウザ内だけで完結します。実行ファイルのドロップを避け、信頼されたWeb機能を利用することで、多くのエンドポイント検知ツールを回避します。
「防御側は、コードとコンテンツの従来の区別をなくすべきです」とSectigoのシニアフェロー、ジェイソン・ソロコ氏は警告します。
「すべての受信SVGを潜在的な実行ファイルとして扱い、スクリプトタグを除去またはブロックしてください。厳格なDMARCアライメントを強制し、疑わしいメールは自動削除しましょう。画像プレビューから発生するwindow locationの変化によるブラウザの遷移を検知するためのテレメトリも導入してください。」
キャンペーンの標的と推奨事項
このフィッシングキャンペーンは、機密性の高い財務データや従業員データにアクセスできるB2Bサービスプロバイダーを主な標的としているようです。
これには以下が含まれます:
-
SaaSプラットフォーム
-
公益事業会社
-
金融サービスベンダー
「このレポートと調査は企業やハントチームには有益ですが、セキュリティ担当者がいない組織や一般消費者は、この手法による従来型のサイバー犯罪に引き続き脆弱なままです」とバンベネック氏は付け加えました。
脅威を軽減するために、OntinueはSafe LinksおよびSafe Attachmentsの有効化、DMARCの強制、SVGのブロック、リスクのある添付ファイルに関するユーザー教育を推奨しています。
翻訳元: https://www.infosecurity-magazine.com/news/hackers-svg-files-javascript/