Transmiterea jurnalelor, a alertelor și a datelor de telemetrie prin intermediul unei diode de date

Află cum
Utilizăm inteligența artificială pentru traducerile site-urilor și, deși ne străduim să fim exacți, este posibil ca acestea să nu fie întotdeauna 100% precise. Apreciem înțelegerea dumneavoastră.

Malware-ul distribuit prin fișiere SVG inundă căsuțele de e-mail. Iată ce îl blochează cu adevărat.

Fișierul nu conține niciun macro, niciun fișier executabil și nici o semnătură cunoscută. În schimb, acesta conține un script care se execută imediat ce browserul îl deschide. Din acest motiv, echipele de securitate reevaluează modul în care sunt gestionate atașamentele înainte de livrare.
De David Mitchell, vicepreședinte, Produse
Împărtășește această postare

Principalele concluzii

  • Fișierele SVG nu sunt date de imagine binare, precum JPEG sau PNG. Acestea sunt bazate pe XML și pot conține scripturi executabile pe care browserul le va rula imediat după deschidere.
  • Numărul atașamentelor SVG rău intenționate a crescut de cincizeci de ori în 2025 față de 2024 și ocupă acum locul al treilea în clasamentul celor mai frecvente tipuri de atașamente rău intenționate din e-mailuri la nivel global, potrivit Raportului privind tendințele de phishing din 2026 al Hoxhunt.
  • Fiecare conținut SVG este personalizat în funcție de adresa de e-mail a destinatarului. Destinația redirecționării este fragmentată, criptată prin intermediul mai multor variabile și se asamblează abia în momentul executării, apărând ca un șir de caractere fără sens pentru orice program de scanare care citește fișierul în mod static.
  • Detectarea tradițională se bazează pe recunoașterea tiparelor de atac cunoscute, fie prin semnături, fie prin metode euristice.
  • Tehnologia Deep CDR™ elimină conținutul activ din fișierele imagine compatibile înainte ca acestea să ajungă la utilizator, indiferent dacă amenințarea a mai fost identificată anterior. Nu sunt necesare semnături și nici o expunere anterioară.

Fără macro. Fără fișier executabil. Doar o imagine capabilă să execute un script.

Pe 2 iunie 2026, Xavier Mertens, coordonator al SANS Internet Storm Center, a publicat o analiză a unei noi campanii de phishing care îi ajungea în căsuța de e-mail de câteva zile. Atașamentul din fiecare e-mail era un fișier SVG, tipul de fișier pe care majoritatea oamenilor îl asociază cu pictograme, ilustrații și elemente grafice web. Nimic din toate acestea nu sugera existența unei amenințări.

Un dublu clic pe acesta a deschis browserul implicit, scriptul încorporat s-a executat în fundal, iar browserul a redirecționat utilizatorul către o pagină destinată sustragerii datelor de autentificare, personalizată în funcție de adresa de e-mail a destinatarului. Nu a existat niciun indiciu că s-ar fi întâmplat ceva până când a fost deja prea târziu.

Atacul nu a necesitat niciun software special, niciun document cu macro-uri activate și nicio permisiune din partea utilizatorului, în afară de reflexul de a deschide un atașament. Întregul mecanism s-a bazat pe o presupunere obișnuită: aceea că un fișier imagine prezintă, în mod inerent, un risc redus.

JPEG-ul afișează. SVG-ul execută. Această diferență reprezintă atacul.

Presupunerea este de înțeles. Fișierele JPEG și PNG sunt reprezentate sub formă de date de pixeli, ceea ce limitează suprafața de atac la nivel de fișier.

SVG este diferit. Este scris în XML (Extensible Markup Language), același limbaj de marcare care stă la baza paginilor web, ceea ce înseamnă că un fișier SVG poate conține etichete de script, elemente de ancorare și alt conținut web activ, pe care un browser îl procesează la fel ca orice pagină web.

Aceasta este vulnerabilitatea pe care o exploatează atacatorii. Fișierele din campania analizată de Mertens nu conțineau deloc conținut grafic. Erau alcătuite exclusiv din cod: JavaScript ofuscat, încorporat într-un înveliș SVG cât se poate de subțire, containerul SVG având un singur scop: să ajungă în browserul victimei, fiind în același timp clasificat ca atașament de tip imagine de către gateway-ul de e-mail.

De ce a devenit aceasta o problemă urgentă

Utilizarea formatului SVG ca vector de atac nu este o noutate, dar utilizarea sa la scară largă s-a accelerat. Cercetătorii au documentat existența atașamentelor SVG rău intenționate în e-mailuri încă din jurul anului 2017, ceea ce ridică întrebarea evidentă: ce s-a schimbat de a devenit această problemă una demnă de discutat astăzi?

În primul rând, s-au schimbat două lucruri.

În primul rând, amploarea fenomenului s-a modificat dramatic. Numărul atașamentelor SVG rău intenționate a crescut de cincizeci de ori în 2025 față de 2024 (Raportul Hoxhunt privind tendințele de phishing din 2026), iar într-o singură campanie din februarie 2026, Microsoft a înregistrat trimiterea a 1,2 milioane de mesaje de phishing bazate pe SVG către peste 53.000 de organizații din 23 de țări. Tehnica nu este nouă, dar adoptarea sa la scară industrială este.

În al doilea rând, peisajul defensiv s-a schimbat în așa fel încât formatul SVG a devenit mai atractiv. Microsoft a dezactivat implicit macro-urile din Office în 2022, amenințările bazate pe fișiere PDF au fost supuse unei supravegheri mai stricte, iar formatul SVG a ajuns la multe gateway-uri cu un istoric de reputație relativ curat, ceea ce a însemnat că atacatorii care urmau calea celei mai mici rezistențe au considerat rapid formatul SVG foarte atractiv.

Tehnica de eludare documentată de Mertens este una subtilă. Codul JavaScript încorporat în fișierul SVG este declarat folosind tipul „application/ecmascript” în loc de tipul standard „text/javascript” și, deși browserele tratează ambele tipuri în mod identic și execută scripturile etichetate cu oricare dintre ele, divergența dintre ceea ce acceptă browserele și ceea ce verifică instrumentele de securitate reprezintă tocmai punctul în care are loc atacul.

Când RFC 9239 a actualizat standardul în 2022, furnizorii de soluții de securitate au respectat această modificare și au eliminat „application/ecmascript” din listele lor de verificare. Browserele, concepute pentru compatibilitate cu versiunile anterioare, au continuat totuși să îl execute. Standardul preciza că acest tip a fost retras. Browserele nu au primit niciodată această informație.

Rezultatul este o lacună persistentă. „application/ecmascript” nu este un identificator nou sau obscur, ci are o istorie care se întinde până la începutul anilor 2000. Atacatorii nu l-au inventat. Ei au observat că tranziția RFC a creat o asimetrie între browserele care funcționează după vechiul comportament și scanerele care impun noul standard, iar această asimetrie nu se remediază de la sine. Orice gateway care nu a reintrodus în mod explicit aliasurile MIME ECMAScript învechite în regulile sale de inspecție rămâne expus, nu pentru că este depășit, ci pentru că a implementat un standard pe care browserele nu l-au respectat.

Cum este personalizat atacul pentru a ajunge în căsuța de e-mail

Adresa destinatarului este codificată în format Base64 și încorporată direct în conținutul SVG, ceea ce înseamnă că fiecare atașament din această campanie generează o adresă URL de phishing unică și personalizată, destinată unui singur destinatar, la un cost aproape de zero.

Acest nivel de personalizare este important deoarece contracarează algoritmii euristici care detectează campaniile generice, întrucât nu există conținut repetat, nici o adresă URL de redirecționare comună și niciun model care să se repete la toți destinatarii, așa cum se întâmplă în cazul atacurilor de phishing în masă.

Destinația redirecționării este codificată în Base64 și apoi criptată folosind o cheie generată din două variabile separate în timpul rulării. Nu este vorba de o criptografie sofisticată, dar ceea ce o face eficientă împotriva scanerelor automate este chiar procesul de generare a cheii.

Sistemele de detectare care încearcă să inverseze procesul de ofuscare trebuie să cunoască atât algoritmul, cât și cheia, iar cheia, în acest caz, nu există sub forma unei singure valori în niciun loc din fișier. Aceasta este împărțită între două variabile și concatenată doar în momentul execuției, ceea ce înseamnă că un scaner nu poate reconstitui adresa URL de destinație fără a dezasambla mai întâi codul de execuție, iar acest lucru necesită executarea scriptului, nu doar citirea acestuia. Analiza statică oferă puține indicii utile, iar încărcătura devine lizibilă doar într-un mediu de browser activ, adică exact acolo unde majoritatea inspecțiilor la nivel de gateway nu au loc.

Fiecare strat de evaziune luat separat ar putea fi detectat, dar, combinate între ele, un format de atașament clasificat ca imagine, un tip MIME învechit, o încărcătură criptată și un domeniu de destinație situat pe un domeniu de nivel superior cu un istoric limitat de abuzuri contribuie la creșterea semnificativă a probabilității de a ajunge în căsuța de primire.

Gateway-ul dvs. nu a prezentat defecțiuni. Atacul a reușit să evite detectarea.

Securitatea e-mailurilor bazată pe detectare se bazează pe o întrebare fundamentală: acest fișier corespunde unei amenințări cunoscute sau recunoscute? Eficacitatea sa depinde de cunoștințele anterioare, fie că este vorba de semnături, fie de modele comportamentale.

Această dependență reprezintă limitarea structurală pe care o scoate la iveală această campanie. Suprapunerea tehnicilor de camuflare înseamnă că, efectiv, un program de scanare are foarte puține elemente de analizat, iar clasificarea ca fișier SVG implică faptul că acesta s-ar putea să nu fie supus aceleiași analize amănunțite ca un document Office sau un fișier executabil. Dacă gateway-ul dumneavoastră clasifică fișierele SVG drept formate de imagine și aplică, în consecință, o inspecție mai superficială, este probabil ca această campanie să nu fi fost detectată la nivelul gateway-ului. Acesta este un caz în care atacul se desfășoară în afara sferei de acțiune a sistemelor de detectare.

Acest lucru nu înseamnă că detectarea nu funcționează. Funcționează bine împotriva amenințărilor cunoscute, iar nicio arhitectură de securitate a e-mailurilor nu este eficientă fără ea. Întrebarea este ce se întâmplă în cazul unor amenințări complet noi, pe care sistemele de detectare nu le-au mai întâlnit până acum.

„Prevenția pe primul loc” înseamnă eliminarea preventivă a tuturor conținuturilor active

O abordare care pune accentul pe prevenire introduce o măsură complementară alături de detectare: acest fișier mai conține conținut activ?

Tehnologia Deep CDR™ nu încearcă să stabilească dacă un fișier este dăunător. În schimb, aceasta deconstruiește fișierul, elimină orice elemente potențial dăunătoare sau care încalcă politica de securitate și furnizează o versiune curățată și utilizabilă. În cazul unui fișier SVG care conține un script activ, aceasta înseamnă că utilizatorul primește un fișier care se afișează conform intenției inițiale dacă există conținut grafic legitim, dar fără scriptul care permite atacul.

Această abordare este confirmată de primul scor de 100% obținut vreodată în cadrul testului de neutralizare și reconstrucție a conținutului realizat de SE Labs, care a recunoscut tehnologia Deep CDR™ drept prima soluție CDR din istorie care a atins un scor de 100% atât la protecție, cât și la precizie.

Nu orice amenințare este neutralizată doar prin procesul de igienizare. Încărcăturile evazive, adică fișierele concepute să pară inofensive în urma unei analize statice și care se activează doar în timpul rulării, necesită o inspecție comportamentală care depășește sfera de acțiune a igienizării. MetaDefender acoperă această lacună prin analiza dinamică în mediu sandbox, dezvăluind comportamentul rău intenționat prin emulare și oferind un singur verdict de încredere. Cu o rată de detectare a vulnerabilităților de tip „zero-day” de 99,9%, Aether abordează expunerea reziduală pe care igienizarea și scanarea multiplă, luate separat, nu sunt concepute să o abordeze.

Un model demn de urmărit dincolo de SVG

SVG este exemplul actual și nu va fi ultimul. Modelul este mai amplu decât în cazul SVG: orice format de fișier care pare legitim, dar ascunde conținut executabil, poate fi supus aceluiași tratament.

Anexele HTML introduc în mod clandestin încărcături dăunătoare prin gateway-uri. Codurile QR încorporate în fișierele PDF redirecționează către pagini destinate colectării datelor de autentificare. Încărcăturile steganografice se ascund în metadatele imaginilor. În fiecare dintre aceste cazuri, fișierul este exact ceea ce pretinde a fi la nivel structural, dar conține informații pe care verificarea de clasificare la nivel superficial nu a fost concepută să le detecteze.

Concluzia nu este că un anumit format ar fi periculos. Ci că afirmația „acest fișier pare inofensiv” nu mai constituie un temei justificat pentru deciziile privind livrarea. Atunci când un fișier trece de toate verificările de detectare, ar trebui livrat automat sau ar trebui totuși curățat?

Modul în care OPSWAT o abordare pe mai multe niveluri în ceea ce privește Email Security

Atacatorii acționează zilnic pornind de la premisa că detectarea reprezintă ultima linie de apărare. Pentru noi, aceasta face parte dintr-o abordare pe mai multe niveluri, care combină diverse tehnologii pentru a maximiza securitatea la nivel de perimetru pentru clienții noștri. MetaDefender™ Email Security aplică această logică în cadrul a două modele de implementare:

  • MetaDefender™ Email Gateway Security se implementează local ca software la nivel SMTP/MX. Tehnologia Deep CDR™, compatibilă cu peste 200 de tipuri de fișiere, elimină conținutul activ din fiecare atașament și scanează recursiv arhivele imbricate pentru o igienizare profundă, iar tehnologia Metascan™ Multiscanning, care utilizează peste 30 de motoare antivirus, efectuează detectarea în paralel, IA predictivă Alin oferă un verdict în milisecunde cu privire la prezența amenințărilor în atașament, fără a fi necesară executarea acestuia, tehnologia de tip sandbox MetaDefender acoperă încărcăturile evazive care necesită o analiză comportamentală mai aprofundată, iar tehnologia Proactive DLP™ previne scurgerile de informații la sursă pentru peste 125 de tipuri de fișiere.
  • MetaDefender™ Cloud Email Security aplică aceeași abordare axată pe prevenire în mediile Microsoft 365, fără modificări ale înregistrărilor MX, fără hardware și fără întreruperi ale fluxului de e-mailuri. Tehnologia Deep CDR™, MetaDefender , Metascan Multiscanning până la 17 motoare antivirus și Predictive Alin AI inspectează și curăță fiecare atașament din e-mailurile primite și trimise, inclusiv fișierele criptate, înainte ca acestea să ajungă la utilizator.

Rămâneți la curent cu OPSWAT!

Înscrieți-vă astăzi pentru a primi cele mai recente actualizări ale companiei, povești, informații despre evenimente și multe altele.