Ontinueは、従来の検知を回避するリダイレクト攻撃で、スケーラブル・ベクター・グラフィックス(SVG)ファイルを悪用する新たなフィッシングキャンペーンを警告しています。
無害な画像フォーマットと考えられているSVGファイルですが、埋め込みスクリプトを含むことができ、脅威アクターはこれを悪用して難読化されたJavaScriptコードを注入し、実行時にブラウザリダイレクトを引き起こしています。
悪意のあるコードはSVGファイルのCDATAセクション内に隠されており、実行時に静的なXORキーを使ってペイロードを復号します。復号されたコードはリダイレクトコマンドを再構築し、トラッキング機能も含む宛先URLを生成します。
「JavaScriptの実行はファイルのドロップやマクロを必要とせずに実現され、さらにペイロードは基本的なアンチスパムフィルターを通過する可能性のあるなりすましメールで配布されることで回避性が高められています」とOntinueは述べています。
悪意のあるSVGファイルは、DKIM、DMARC、SPFレコードが弱い、または誤設定されたドメインを使ったフィッシングメールで配布され、攻撃者が送信者になりすますことを可能にしています。場合によっては、攻撃者は正規の組織に似たドメイン名を使用しています。
これらのメッセージは通常、DKIMレコードやDMARCポリシーが設定されていない受信トレイに届いています。観測されたメールは非常に簡素で、本文に数行のみ記載されており、被害者にブラウザで画像をプレビューするよう指示しています。SVGファイルは添付ファイルとして配布される場合と外部にホストされてリンクがメール内に記載される場合があります。
このキャンペーンの一環として、攻撃者はランダム化された、またはサブドメインベースの構造を持つドメインを使用し、静的フィルタリングによる検知を困難にしています。これらのドメインは評判が低いか未知であり、定期的にローテーションされているようです。
攻撃は主に、金融・従業員サービス企業、公益事業、SaaSプロバイダーなど、企業の貴重なデータを日常的に扱うB2Bサービスプロバイダーを標的としています。
広告。スクロールして続きをお読みください。
これらの標的型フィッシングキャンペーンにおけるSVGスマグリングの利用により、攻撃者は従来の振る舞いやシグネチャベースの検知を回避できます。埋め込まれたスクリプトロジックが、ユーザーの操作や外部ダウンロードなしに、直接ブラウザでリダイレクトを引き起こすためです。
「このキャンペーンは、ユーザーの操作や外部ダウンロードを必要とせず、ブラウザネイティブのリダイレクトを実現している点が際立っています。従来のフィッシングと本格的なマルウェア配布の間のギャップを埋めており、ステルス性と効果が高い」とOntinueは指摘しています。
Sectigoのシニアフェロー、ジェイソン・ソロコ氏によれば、これらの攻撃を軽減するためには、防御側はコンテンツをコードと同様に扱う必要があるとのことです。
「すべての受信SVGを実行可能ファイルとみなしてください。スクリプトタグを除去またはブロックしましょう。厳格なDMARC整合性を強制し、疑わしいメールは自動的に削除してください。画像プレビューから発生するwindow locationの変更によるブラウザのピボットを検知できるテレメトリを導入しましょう。Safe Linksによるコンテンツ無害化や、類似ドメイン監視などの多層的な制御は、攻撃者が現在頼っている単純な経路を妨害します」とソロコ氏は述べています。
関連記事: Google Geminiがメール内に隠されたフィッシングメッセージを表示するよう騙される
関連記事: 英国の税務サービスを標的としたフィッシングで13人のルーマニア人が逮捕
翻訳元: https://www.securityweek.com/threat-actors-use-svg-smuggling-for-browser-native-redirection/