Görüntü dosyalarında (Resim) gizli kötü amaçlı yazılım bulundu, antivirüs tespitini tamamen atlatabiliyor

Görüntü dosyalarında (Resim) gizli kötü amaçlı yazılım bulundu, antivirüs tespitini tamamen atlatabiliyor

VirusTotal, tespit edilemeyen SVG kimlik avı kampanyasını keşfetti

Ölçeklenebilir vektör grafikleri (.svg) dosyaları, herhangi bir çözünürlükte görüntülenebilen hafif, XML tabanlı görsellerdir. Genellikle zararsızdırlar, ancak etkin kod da içerebilirler ve bilgisayar korsanları, kötü amaçlı yazılımları gizlice dağıtmak için bunlara daha sık güveniyor gibi görünüyor.

VirusTotal'ın yeni bir raporu, bu taktiğin ne kadar geliştiğini gösteriyor ve kötü amaçlı yazılımları dağıtmak, bir devlet kurumunu taklit etmek ve antivirüs tespitini tamamen atlatmak için silahlandırılmış SVG'ler kullanan bir kampanyayı ortaya çıkardı.

Daha önce tespit edilmemiş 44 kimlik avı SVG'si

Google'a ait tarama platformu, 4 Eylül'de yayınladığı raporda, Code Insight sisteminin Kolombiya yargı sisteminden gelen yasal bir bildirim gibi görünen bir SVG dosyasını işaretlediğini belirtti.

Dosya açıldığında, tarayıcıda sahte bir ilerleme çubuğu ve indirme düğmesiyle birlikte gerçekçi görünümlü bir web portalı görüntüleniyordu. Bu düğme, imzalı bir Comodo Dragon tarayıcı çalıştırılabilir dosyasının yanı sıra, .exe çalıştırılırsa yan yüklenecek kötü amaçlı bir .dll dosyası içeren kötü amaçlı bir ZIP arşivi gönderiyordu. Bu da sisteme daha fazla kötü amaçlı yazılım yüklüyordu.

Saldırı, SVG'lerin gömülü HTML ve JavaScript'i desteklediği bilinen ancak genellikle gözden kaçan bir özelliğe dayanıyordu. Bu, bir e-postaya eklenmiş veya bulut depolamada barındırılmış olsalar bile mini web sayfaları gibi (veya bu durumda olduğu gibi tam kimlik avı kitleri gibi) kullanılabilecekleri anlamına geliyor. VirusTotal'ın geriye dönük taraması, 523 SVG dosyasını aynı kampanyaya bağladı ve bunların 44'ü gönderim sırasında herhangi bir antivirüs motoru tarafından tamamen tespit edilememişti.

VirusTotal'ın bulgularına göre, bu SVG'lerin kaynak kodu, kod gizleme teknikleri ve "entropiyi artırmak ve statik algılamayı önlemek için büyük miktarda sahte (çöp) kod" içeriyordu.

Münferit bir vaka değil.

Bu yılın başlarında IBM X-Force, bankaları ve sigorta şirketlerini hedef alan SVG kimlik avı kampanyalarını belgeledi ve Cloudflare'in Cloudforce One tehdit ekibi, yönlendirici veya tamamen kodlanmış kimlik bilgisi toplayıcı olarak hareket eden SVG'lerde keskin bir artış tespit etti. Bu arada, Sophos gibi güvenlik sağlayıcıları, filtreleri aşan SVG yükleri bulduktan sonra yeni algılama kuralları uygulamaya koydu.

Microsoft ise, web için Outlook ve yeni Windows için Outlook'ta satır içi SVG oluşturma desteğini kaldırıyor. Bunlar artık görüntülenmeyecek ve kullanıcılar, normalde görünebilecekleri yerlerde boş alanlar görecek. Bu, etkin içeriği bir mesaj gövdesine gizlice sokmayı uman herhangi bir saldırgan için güçlü bir dağıtım vektörünü kapatıyor.

Şimdilik kullanıcılar, bilinmeyen SVG dosyalarına, diğer bilinmeyen dosyalara gösterdikleri aynı düzeyde özen göstermelidir.

Kaynak: TH