Компания Ontinue обнаружила новый тип кибератак, при котором злоумышленники внедряют JavaScript в файлы SVG. Эта техника получила название «SVG Smuggling» и позволяет незаметно перенаправлять пользователя на подконтрольные хакерам сайты.
SVG — это обычно безопасный формат векторных изображений, однако при открытии или предварительном просмотре такого файла в браузере запускается скрытый скрипт. Основными целями атак становятся B2B-поставщики услуг, компании, работающие с финансовыми и кадровыми данными, коммунальные предприятия и SaaS-провайдеры, которые часто подвержены фишинговым рассылкам из-за большого объема входящей почты.
Атака начинается с фишинговых писем с темами вроде «ToDoList», «Missed Call» или «Payment». Они маскируются под сообщения от доверенных отправителей, иногда с использованием поддельных доменов, схожих с реальными. Во многих организациях при этом не настроены SPF, DKIM и DMARC — механизмы проверки подлинности электронной почты.
Вредоносный SVG может быть вложен в письмо или загружаться с внешнего сервера. Код в нем размещается внутри секций <script><!]></script>, шифруется с помощью статического XOR-ключа и при открытии файла использует функции браузера window.location.href и atob() для перенаправления пользователя на фальшивый сайт. Итоговый URL часто содержит Base64-строки, позволяющие отслеживать жертв.
Злоумышленники применяют временные домены с низкой репутацией и случайными поддоменами, что усложняет их блокировку.
Эксперты советуют включить в Microsoft Defender функции Safe Links, Safe Attachments, антифишинговые политики и Zero-hour Auto Purge (ZAP), настраивать SPF/DKIM/DMARC, блокировать вложения в формате SVG или использовать технологии разоружения контента (CDR), а также отслеживать поддельные домены и обучать сотрудников.
По словам Джона Бамбенека, президента Bambenek Consulting, это модификация старой техники доставки вредоносного кода через файлы изображений, ранее часто применявшейся с PDF. Хакеры рассчитывают на то, что организации воспримут изображение как безопасный файл, и это позволит вредоносному коду проникнуть внутрь сети.
Комментарии (16)
savostin
14.08.2025 21:39А можно пример, хотя бы схематический? Что-то и правда не верится, что многое можно в SVG. Я когда делал проект динамической кнопки в SVG (надо было циферку менять) помню сильно был ограничен в средствах. Только как <object>, а его в письмо просто так не вставишь.
nosystem0 Автор
14.08.2025 21:39Добрый день! В документах SVG могут быть таблицы стилей, которые ссылаются на внешние ресурсы и, следовательно, загружают их. На данный момент в SVG не определено никаких ограничений.
savostin
14.08.2025 21:39Давайте отличать inline svg и svg file.
Вся эта шумиха из-за inline svg, который по сути html/xml. Если вам удалось поместить inline svg, то он вообще не нужен, вы внедрили html, со всеми вытекающими.
В svg file никаких скриптов вставить нельзя, они просто игнорируются.
Короче нужен реальный пример.
andreymal
14.08.2025 21:39В svg file прекрасно работают любые скрипты, если его открывать как целую страницу, а не встраивать (или встраивать через iframe)
savostin
14.08.2025 21:39Как и в любую страницу, если ее открывать браузером. В чем новость?
andreymal
14.08.2025 21:39Я тоже не понял в чём новость. Возможно, в том, что об этом узнали мамкины хакеры)
LinkToOS
14.08.2025 21:39Как и в любую страницу, если ее открывать браузером. В чем новость?
Видимо в том, что ссылка активируется без участия пользователя. И url содержит какую-то метку. Как это можно использовать это уже другой вопрос.
savostin
14.08.2025 21:39В данном случае svg выступает как html. И в том и в другом случае если открыть в браузере активируется скрипт без участия пользователя. Как я понимаю просто далеко не все понимают, что svg файлы не картинки. Т.е. html в здравом уме никто не открывает, а svg считается почему-то безопасным форматом.
LinkToOS
14.08.2025 21:39Т.е. html в здравом уме никто не открывает, а svg считается почему-то безопасным форматом.
html открывают. Этот формат довольно часто используется для оффлайн документов. Но от него известно что ожидать, и политики безопасности настраиваются с учетом возможных угроз. А про указанную особенность SVG мало кто знает.
aik
14.08.2025 21:39А чем код в svg отличается от кода на обычной страничке?
nosystem0 Автор
14.08.2025 21:39Добрый день! SVG основан на XML и использует ограниченный ряд элементов. Однако SVG можно редактировать и с помощью JS - что и делает SVG уязвимым.
savostin
14.08.2025 21:39Каким образом? Html можно редактировать с помощью js. Давайте откажемся. Все в тексте.
jodaka
14.08.2025 21:39Это не ответ, а какой-то поток сознания. Выглядит, как будто автор совершенно не понимает, о чём пишет.
nosystem0 Автор
14.08.2025 21:39Автор дал ответ из википедии, подробнее тут
savostin
14.08.2025 21:39The SVG document is not allowed to fetch any resources. This also applies to scripts, stylesheets or images.
Scripts must not be executed.
И как бедные хакеры в таких нечеловеческих условиях работают?
skymal4ik
Неужели браузеры не ограничены выполнением только безопасных функций в svg? Зачем там window.location? Удивлюсь, если еще и доступ к кукам и вебртц есть :)