Attackers increasingly weaponize SVG files with embedded JavaScript and Base64‑encoded payloads to deliver phishing pages and malware while evading traditional detection. Deep CDR™ Technology, one of the core technologies that powers MetaDefender Core™, neutralizes this class of attack by removing all active content (scripts, external references, event handlers, etc.) and delivering a clean, standards‑compliant image that preserves functionality while eliminating risk. Normal, trustworthy SVGs (Scalable Vector Graphics) do not need JavaScript, so it is removed by default.
De ce SVG
Vehiculul perfect pentru sarcinile utile de phishing
SVG este un format de imagine vectorială bazat pe XML, nu o simplă bitmap.
Un fișier SVG poate include:
- Scripturi
- Manipulatori de evenimente
- Referințe externe
Aceste caracteristici sunt utile pentru grafica interactivă, dar atacatorii le exploatează pentru:
- Rulați coduri malițioase
- Injectați date XML malițioase
- Preluarea conținutului extern
- Renderizarea paginilor de autentificare false
Atacatorii combină, de asemenea, SVG-urile cu contrabanda HTML/JS prin încorporarea de sarcini utile Base64 în imagini aparent inofensive și decodarea acestora în timpul execuției. Această tehnică este acum urmărită oficial ca MITRE ATT&CK "SVG Smuggling" (T1027.017).
Principala concluzie
In normal enterprise content workflows (logos, icons, diagrams), SVGs don’t require JavaScript or active content. If you find <script>, event handlers, or remote references in an inbound SVG, treat them as risky.
Ce observăm în sălbăticie
Atașament de e-mail cu Phishing codificat Base64
- Livrare: Un e-mail de rutină conține un atașament .svg pe care multe porți de e-mail îl tratează ca pe o imagine.
- Technique: Inside the SVG, an obfuscated <script> reconstructs a phishing page from a Base64 blob and loads it in the browser.
Site web de Drive care utilizează Event Handlers pentru redirecționare
- Livrare: Un site compromis sau cu greșeli de tipar utilizează o suprapunere SVG transparentă cu regiuni pe care se poate face clic.
- Tehnică: Atributele evenimentului (onload, onclick) declanșează redirecționări utilizând decodarea Base64.
De ce detecția se luptă aici
Abordările tradiționale, cum ar fi semnăturile, regulile de model și inspecția codului static, eșuează atunci când atacatorii:
- Ofuscați cu Base64, XOR, umplutură de text nedorit sau șabloane polimorfe.
- Amână execuția până în timpul execuției (de exemplu, onload), ceea ce face ca analiza statică să nu fie fiabilă.
- Ascundeți logica din spatele caracteristicilor SVG legitime, cum ar fi manipulatorii de evenimente și referințele externe.
Fapt interesant
SVG este utilizat de 92% dintre primele 1000 de site-uri web pentru pictograme și grafică, conform datelor HTTP Archive.
"Dacă este activ, este riscant"
Deep CDR™ Technology for SVG
Deep CDR™ Technology, one of the core technologies that powers MetaDefender Core, doesn’t try to guess what is malicious. It assumes any executable or active content in untrusted files is risky and removes or sanitizes it.
Pentru SVG-uri, asta înseamnă:
- Remove JavaScript: Strips out any <script> elements and inline scripts to prevent code execution.
- Remove CDATA: Elimină codul ascuns în secțiunile CDATA care ar putea încorpora logică dăunătoare.
- Elimină injectările: Blochează conținutul injectat care ar putea executa programe malițioase.
- Procesează imaginea: Salubrizarea recursivă a imaginilor încorporate și eliminarea imaginilor externe.
- Normalizează și reconstruiește: Creează un SVG conform standardelor, cu numai elemente vizuale sigure.
- Opțional Rasterize: Convertește SVG în PNG sau PDF pentru fluxurile de lucru care nu necesită interactivitate vectorială.
Această abordare se aliniază ghidului de securitate: igienizați sau sandboxați SVG-urile (sau rasterizați-le) pentru a preveni executarea codului.
Top Use Cases with Deep CDR™ Technology
Gateway-uri de e-mail
Curățați atașamentele primite și fișierele legate (URL-uri rezolvate prin descărcare) înainte de livrare. SVG-urile convertite în SVG-uri curate împiedică redarea de către hărțuitorii de acreditări și declanșarea descărcărilor.
Platforme de colaborare
Apply Deep CDR™ Technology to files shared through tools like Teams, Slack, or SharePoint. Sanitizing SVGs here ensures that no hidden login screens or malicious scripts can trick users during everyday collaboration.
Portaluri web de încărcare
Impuneți sanitizarea tuturor fișierelor încărcate pe site-urile dvs. web, CMS sau sistemele de gestionare a activelor digitale. Acest lucru îi împiedică pe atacatori să ascundă cod dăunător în ceea ce pare a fi un simplu logo sau grafic.
Transfer de fișiere & MFT Managed File Transfer)
Integrate Deep CDR™ Technology into file transfer workflows so every file, especially those from partners or vendors, is safe to use before entering your network. This reduces supply chain risks from compromised assets.
Impactul asupra afacerilor
Ignorarea sanitizării SVG poate duce la:
- Furtul de acreditări: Paginile de autentificare false colectează datele de identificare ale utilizatorilor.
- Infecții malware: Lanțurile de redirecționare livrează ransomware sau stealeri.
- Încălcări ale conformității: Încălcările care implică date sensibile pot declanșa amenzi și daune reputaționale.
Cele mai bune practici pentru prevenirea atacurilor bazate pe SVG
- Poziție implicită: Fără JavaScript în SVG din surse nesigure.
- Sanitize or rasterize: Apply Deep CDR™ Technology to all inbound SVG files.
- Combinat cu CSP: Utilizați ca apărare în profunzime, nu ca control primar.
- Audit și jurnalizare: Urmăriți fiecare acțiune de igienizare pentru conformitate și expertiză.
Gânduri de încheiere
SVG-based phishing is not theoretical, it’s happening now. Detection-based tools can’t keep up with evolving obfuscation techniques. Deep CDR™ Technology offers a deterministic, zero-trust approach, removing the risk before it reaches your users.
