Фишинговые атаки с использованием HTML в SVG

С каждым годом злоумышленники применяют в фишинговых атаках все более и более изощренные методы обмана пользователей и обхода защитных механизмов. Они задействуют хитрые способы перенаправления пользователя в URL-адресах, добавляя адрес вредоносного сайта в аргументы к внешне безобидной ссылке; вставляют ссылки в PDF-файлы; рассылают HTML-вложения, размещая в них фишинговый сайт целиком или открывающий его JavaScript. Недавно мы заметили новый тренд: злоумышленники начали распространять вложения в формате SVG, который обычно используется для хранения изображений.

Формат SVG

SVG (Scalable Vector Graphics) — это формат для описания двухмерной векторной графики с помощью XML. В программе, позволяющей просматривать изображения, SVG-файл будет выглядеть следующим образом.

Изображение в формате SVG

Если же открыть его в текстовом редакторе, можно увидеть XML-разметку, описывающую это изображение. Ее можно редактировать, меняя параметры картинки без помощи ресурсоемких графических редакторов.

Как выглядит SVG-файл в текстовом редакторе

Поскольку в основе формата SVG лежит XML, он, в отличие от JPEG или PNG, поддерживает JavaScript и HTML. Благодаря этому дизайнерам удобнее работать с неграфическим контентом: текстом, формулами, интерактивными элементами и т. д. Однако злоумышленники пользуются этим в своих целях, вставляя в файл с изображением скрипт со ссылкой на фишинговую страницу.

Пример SVG-файла с HTML. Тег вводит HTML-разметку

Фишинговые рассылки с SVG-файлами

В начале 2025 года мы заметили фишинговые письма, которые очень напоминали атаки с вложенным HTML-файлом, но при этом содержали SVG-файл.

Фишинговое письмо с SVG-вложением

Если открыть код письма, можно увидеть, что вложение относится к типу «изображение» (image).

Отображение файла в коде письма

При этом, открыв файл в текстовом редакторе, мы видим, что он представляет собой, по сути, HTML-страницу, в которой нет даже упоминания векторной графики.

Код SVG-файла

В браузере такой файл будет выглядеть как HTML-страница со ссылкой якобы на аудиофайл.

SVG-файл как HTML

При переходе по ссылке пользователь попадает на фишинговую страницу, маскирующуюся под сервис Google Voice.

Фишинговая страница Google Voice

Аудиодорожка вверху страницы представляет собой некликабельную картинку. При попытке прослушать сообщение, нажав на кнопку Play Audio, пользователь попадает на страницу ввода логина и пароля от корпоративной почты, которые, конечно же, окажутся у злоумышленника. Эта страница тоже содержит упоминание Google Voice, а также лого атакуемой компании для усыпления бдительности пользователя.

Форма ввода логина и пароля

В другом примере, отдаленно напоминающем уведомление от сервиса электронной подписи, злоумышленники выдают SVG-вложение за документ, который необходимо изучить и подписать.

Фишинговое уведомление о подписании документа

В отличие от первого примера, где SVG-файл выполнял роль HTML-страницы, в данном кейсе в него вставлен JavaScript, который при попытке открыть файл загружает браузер с фишинговым сайтом, содержащим фальшивую форму авторизации в сервисах Microsoft.

Код SVG-файла

Фишинговая страница ввода логина и пароля

Статистика

По данным нашей телеметрии в марте 2025 года количество рассылок с SVG-вложениями значительно выросло. Всего за первый квартал 2025 года мы обнаружили 2825 таких писем.

Число обнаруженных писем с SVG-вложениями, январь — март 2025 года (скачать)

В апреле тенденция к росту продолжилась: за первую половину месяца мы обнаружили 1324 письма с SVG-вложениями — более двух третей от мартовского показателя.

Вывод

Фишеры постоянно ищут новые методы защиты от обнаружения. В одних случаях они используют приемы вроде перенаправления пользователей и обфускации текста, в других — экспериментируют с форматом вложений. Так, формат SVG позволяет встраивать в изображение HTML и JavaScript, чем и пользуются злоумышленники. На момент исследования атаки с SVG-вложениями еще не стали массовыми, но уже сейчас мы видим рост их числа. При этом пока подобные атаки выглядят сравнительно примитивно: как и в сценарии с HTML-вложениями, SVG-файлы содержат либо страницу с фишинговой ссылкой, либо скрипт, перенаправляющий пользователя на мошеннический сайт. Но использование SVG в качестве контейнера для вредоносного контента может применяться и в более сложных целевых атаках.