A kiberbiztonsággal foglalkozó kutatók és fejlesztők egy érdekes veszélyre hívták fel a figyelmet, ami az utóbbi időszakban egyre szélesebb körben kezd terjedni, ez pedig nem más, mint az SVG képfájl-formátumba ágyazott kártékony kódok jelentette kihívás, ami azért jelent problémát, mert a védelmi szoftverek nagy része sem tud mit kezdeni a fertőzött fájlokkal, legalábbis egyelőre. Az SVG egy vektorgrafikus képformátum (Scalable Vector Graphics), ami képpontok helyett vektorokkal dolgozik, ezáltal a tartalom veszteségmentesen, torzítások veszélye nélkül skálázható lefelé és felfelé is, ezért előszeretettel használják webes környezetben, de logókhoz, ikonokhoz és egyéb olyan területeken is jól jöhet, ahol előnyeiből profitálni lehet.
Az SVG különlegessége, hogy egy XML alapú fájlformátum, aminek van egy különleges tulajdonsága is: a képfájl rejthet egyéb kódot is, például kártékony kódokat, amelyekkel sok problémát tudnak okozni a jól felkészült támadók. A kártékony kódokat rejtő SVG fájlok száma kezd megszaporodni, az elmúlt időszakban 500-nál is több ilyen fájlt találtak a biztonságtechnikai kutatók, ugyanis felderítettek egy speciális adathalász kampányt, amelynek keretén belül kolumbiai kormányzati weboldal hamisítványára alapozva próbáltak felhasználói adatokhoz jutni a támadók.
A speciálisan összeállított SVG fájlokat egy webböngészőben megnyitva azok egy kolumbiai kormányzati portál másaként jelentek meg, rajtuk egy hamis folyamatjelző sávval, alatta pedig egy letöltő gombbal. Ahogy a felhasználó a gombra kattintott, egy kártékony ZIP állomány töltődött le, amiben a Comodo Dragon webböngésző aláírt változata foglalt helyet egy kártékony .dll fájl társaságában, ami azonnal betöltődött, ahogy a .exe fájlt elindították. A folyamat során még több malware kerülhetett az adott rendszerre, ezzel segítve a támadókat céljaik elérésében.
Az újfajta, egyre inkább elterjedt támadásforma arra alapoz, hogy az SVG fájlok támogatják a HTML és a JavaScript kódok beágyazását, vagyis maga az SVG fájl egy mini weboldalként jelenhet meg, ha felhő alapú tárhelyre töltik fel vagy e-mail csatolmányaként küldik át a gyanútlan célpontnak. Ebben az esetben kártékony kódokat rejtett a fájl, amelyeken keresztül malware kerülhetett az adott rendszerre.
A VirusTotal szakemberei szerint összesen 523 olyan fertőzött SVG fájlt találtak, amelyek ugyanahhoz az adathalász kampányhoz tartoznak, ezek közül 44-et olyan kifinomult módszerekkel alkottak meg, hogy azokat egyetlen antivírus sem volt képes felismerni abban az időszakban, amikor a kiberbiztonsággal foglalkozó szakemberek rájuk bukkantak. A VirusTotal elemzése szerint ezek az SVG fájlok jellemzően nagy mennyiségben tartalmaztak funkció nélküli álcakódot, annak érdekében, hogy növeljék az entrópiát és a ténylegesen kártékony kódokat nehezebben ismerjék fel a védelmi szoftverek.
Az SVG fájlformátum efféle felhasználása nem egy teljesen új keletű dolog, az IBM X-Force részlege már korábban is felfedezett kártékony kódokat tartalmazó SVG fájlokat idén, amelyek bankokat és biztosítókat vettek célba, de a CloudFlare CloudFForce One csapta is felfigyelt arra, hogy az SVG fájlok egyre gyakrabban lépnek átirányító szerepkörbe, illetve egyre gyakrabban tartalmazhatnak bejelentkezési adatok összegyűjtését segítő kártékony kódokat. A problémára a Microsoft csapata már reagált is, ők egyszerűen megszüntették az SVG fájlok renderelésének támogatását az Outlook asztali és webes kiadásában, így ezek a fájlok most már nem jelennek meg normál képek formájában, helyükön csak egy üres terület látszik, ezzel csökkentve a felhasználókra leselkedő veszélyt.
A fentiek alapján nagy általánosságban elmondható, az ismeretlen SVG fájlokkal érdemes vigyázni és érdemes őket úgy kezelni, mint bármilyen egyéb olyan ismeretlen fájlt, ami potenciális veszélyeket rejthet – például e-mail csatolmányaként.
