Если изображения JPG или PNG состоят из пикселей, каждый из которых имеет определённое цветовое значение, то SVG отображает картинку с помощью линий, фигур и текста, описанных в математических формулах в коде. Например, следующий код создаст прямоугольник, круг, ссылку и текст:
<svg width="200" height="200" xmlns="http://www.w3.org/2000/svg">
<!-- A rectangle -->
<rect x="10" y="10" width="100" height="50" fill="blue" stroke="black" stroke-width="2" />
<!-- A circle -->
<circle cx="160" cy="40" r="40" fill="red" />
<!-- A line -->
<line x1="10" y1="100" x2="200" y2="100" stroke="green" stroke-width="3" />
<!-- A text -->
<text x="50" y="130" font-size="20" fill="black">Hello, SVG!</text>
</svg>
При открытии в браузере файл сгенерирует графику, описанную выше.
Поскольку это векторные изображения, они автоматически изменяют размер без потери качества или формы, что делает их идеальными для использования в браузерных приложениях.
Ранее вложения SVG уже применялись во вредоносных кампаниях Qbot и в качестве способа скрытия вредоносных скриптов. Однако, по словам исследователя безопасности MalwareHunterTeam, злоумышленники теперь применяют их и в других фишинговых кампаниях.
Так, вложения SVG могут использоваться для отображения HTML с использованием элемента <foreignObject> и выполнять jаvascript при загрузке графики. Это позволяет злоумышленникам создавать фишинговые формы для кражи учётных данных.
Например, это вложение SVG отображает поддельную таблицу Excel со встроенной формой входа:
Другие вложения могут выдавать себя за официальные документы или запросы на дополнительную информацию, предлагая нажать кнопку загрузки, которая затем загружает вредоносное ПО с удалённого сайта.
Наконец, в кампаниях используют вложения SVG и встроенный jаvascript для автоматического перенаправления браузеров на сайты, размещающие фишинговые формы при открытии изображения.
Проблема в том, что эти файлы в основном представляют собой просто текстовые представления изображений, и они, как правило, не так часто обнаруживаются программным обеспечением безопасности.
Пользователям советуют открывать только те вложения SVG, которые получены из доверенных источников.
В 2023 году исследователи выяснили, что злоумышленники внедряют вредоносное ПО в пустые изображения в электронных письмах для обхода проверки службой VirusTotal. Основную роль в атаке играет HTM-вложение, отправленное вместе со ссылкой DocuSign. В нём содержится SVG-изображение, закодированное с использованием Base64. Хотя оно пустое, этот файл имеет встроенный jаvascript-код, перенаправляющий на вредоносный URL-адрес.