Phishing-Angriffe mit manipulierten SVG-Dateien - Vorsicht geboten

12. Juni 2025

Beschreibung

CERT.at warnt vor stark zunehmenden Phishing-Kampagnen, bei denen manipulierte SVG-Dateien (Scalable Vector Graphics) als E-Mail-Anhänge verwendet werden. Diese Angriffsmethode wird seit mehreren Monaten verstärkt beobachtet und stellt eine ernsthafte Bedrohung dar, da SVG-Dateien von vielen Sicherheitslösungen nicht ausreichend geprüft werden.

Auswirkungen

Durch das Öffnen manipulierter SVG-Dateien können Angreifer:

  • JavaScript-Code auf dem System des Opfers ausführen.
  • Schadsoftware nachladen und installieren.
  • Phishing-Formulare direkt in der SVG-Datei anzeigen.
  • Automatische Weiterleitungen zu bösartigen Webseiten auslösen.
  • Zugangsdaten und andere sensible Informationen stehlen.

Technische Details

SVG-Dateien sind XML-basierte Textdateien zur Darstellung von Vektorgrafiken. Angreifer nutzen folgende Eigenschaften aus:

  • Eingebettetes JavaScript: SVG-Dateien können script-Tags enthalten, die JavaScript-Code ausführen.
  • ForeignObject-Element: Ermöglicht die Einbettung von HTML-Inhalten und interaktiven Formularen direkt in der SVG-Datei.
  • Automatische Ausführung: Beim Öffnen der SVG-Datei im Browser wird eingebetteter Code automatisch ausgeführt.
  • Geringe Erkennungsrate: Da SVG-Dateien hauptsächlich aus Text bestehen, werden sie von vielen Antivirenprogrammen nicht als verdächtig eingestuft.

Die Angreifer verwenden verschiedene Verschleierungstechniken wie Unicode-Escape-Encoding und String-Verkettung, um die Erkennung weiter zu erschweren.

Aktuelle Kampagne: Strela Stealer

CERT.at beobachtet derzeit verstärkt SVG-basierte Phishing-Kampagnen in Österreich, die den Strela Stealer verbreiten. Diese Schadsoftware ist speziell darauf ausgelegt, E-Mail-Zugangsdaten zu stehlen.

Ablauf der Infektion:

  • SVG-Anhang: Opfer erhalten eine E-Mail mit einer manipulierten SVG-Datei als Anhang (aktuell z.B. Rechnung_<xyz/Nummer>.svg).
  • JavaScript-Ausführung: Das in der SVG eingebettete JavaScript wird beim Öffnen (nach minimaler Interaktion durch das Opfer) ausgeführt.
  • ZIP-Download: Das JavaScript lädt automatisch eine ZIP-Datei herunter.
  • JScript-Loader: Die ZIP-Datei enthält eine JScript-Datei, die als Loader fungiert.
  • Payload-Download: Bei positiver Prüfung wird die eigentliche Schadfunktionalität (aktuell Powershell-Scripts) nachgeladen.

 Besonderheiten:

  • Strela Stealer zielt auf Mozilla Thunderbird und Microsoft Outlook (Authentifizierungs-Daten, potentielle Exfiltration von E-Mails) und kann Screenshots anfertigen.
  • Verwendet mehrstufige Verschleierung und Anti-Analyse-Techniken.
  • Exfiltriert gestohlene Daten über HTTP POST an Command-and-Control-Server.

Betroffene Systeme

  • Alle Systeme und Anwendungen die SVG-Dateien rendern und JavaScript ausführen können - insbesondere Webbrowser und E-Mail Clients.

Abhilfe

Sofortmaßnahmen:

  • SVG-Dateien in E-Mail-Anhängen generell als verdächtig behandeln.
  • E-Mail-Filter so konfigurieren, dass SVG-Anhänge blockiert oder in Quarantäne verschoben werden. (Achtung: Da SVG-Dateien allgemein durchaus in normaler E-Mail Kommunikation genutzt werden, ist dies zwar eine wirksame, aber vielleicht für normale Geschäftsabläufe hinderliche Methode, die zuvor abhängig der Organisations-Parameter geprüft werden sollte.)
  • Mitarbeiter:innen über diese Angriffsmethode informieren und sensibilisieren.

Informationsquelle(n):

Blog-Artikel von IBM (Englisch):
https://www.ibm.com/think/x-force/weaponized-svgs-inside-a-global-phishing-campaign-targeting-financial-institutions

Artikel von Bleepingcomputer (Englisch):
https://www.bleepingcomputer.com/news/security/phishing-emails-increasingly-use-svg-attachments-to-evade-detection/

Blog-Artikel zu JS in SVGs (Englisch)
https://davidwalsh.name/javascript-in-svgs

Blog-Artikel zu einer früheren StrelaStealer Kampagne von Trustwave (Englisch)
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/a-deep-dive-into-strela-stealer-and-how-it-targets-european-countries/