Les fichiers SVG (Scalable Vector Graphics) sont des images légères basées sur XML qui s’affichent à n’importe quelle résolution. Généralement inoffensifs, ces fichiers peuvent néanmoins contenir du code actif, et les hackers semblent de plus en plus les utiliser pour introduire discrètement des logiciels malveillants.
Un nouveau rapport de VirusTotal met en lumière l’évolution de cette tactique, révélant une campagne ayant utilisé des SVG manipulés pour diffuser des malwares, usurper une agence gouvernementale et échapper complètement à la détection antivirus.
44 SVG de phishing auparavant non détectés
Dans son rapport publié le 4 septembre, la plateforme de scanning appartenant à Google a signalé un fichier SVG se faisant passer pour une notification légale du système judiciaire colombien.
Lorsqu’on l’ouvre, le fichier génère un portail web d’apparence réaliste dans le navigateur, agrémenté d’une barre de progression et d’un bouton de téléchargement factices. Ce bouton livrait alors une archive ZIP malveillante contenant un exécutable signé du navigateur Comodo Dragon, ainsi qu’un fichier .dll qui serait installé si l’exécutable était lancé. Ce processus conduisait à l’installation de davantage de malwares sur le système.
L’attaque s’appuyait sur une fonctionnalité connue, mais souvent négligée, des SVG qui supportent l’HTML et le JavaScript intégrés. Cela signifie qu’ils peuvent fonctionner comme de mini pages web — ou, dans ce cas précis, comme des kits de phishing complets — même lorsqu’ils sont attachés à un e-mail ou hébergés sur un stockage cloud. Le scan rétrospectif de VirusTotal a relié 523 fichiers SVG à la même campagne, dont 44 n’ont été détectés par aucun moteur antivirus au moment de leur soumission.
Selon les découvertes de VirusTotal, le code source de ces SVG intégrait des techniques d’obfuscation et de “grands volumes de codes inutiles (poubelle) pour accroître l’entropie et éviter la détection statique.”
Image 1 of 2
Pas un cas isolé
Plus tôt dans l’année, IBM X-Force a documenté des campagnes de phishing utilisant des SVG ciblant des banques et des compagnies d’assurance. Parallèlement, l’équipe de menace Cloudforce One de Cloudflare a observé une forte montée des SVG jouant le rôle de redirection ou de collecteurs de données d’identification entièrement codés. Pendant ce temps, des fournisseurs de sécurité comme Sophos ont développé de nouvelles règles de détection après avoir découvert des charges utiles SVG contournant les filtres.
Microsoft, de son côté, prévoit de cesser le support du rendu SVG en ligne dans Outlook pour le web et la nouvelle version d’Outlook pour Windows. Ces fichiers ne seront plus affichés, les utilisateurs voyant des espaces vides là où ils auraient dû apparaître. Cela coupe une voie de livraison puissante pour tout attaquant espérant introduire du contenu actif dans le corps d’un message.
Pour l’heure, il est conseillé aux utilisateurs de traiter les fichiers SVG inconnus avec le même niveau de précaution que tout autre fichier inconnu.
Bon à savoir
- Les fichiers SVG peuvent contenir des scripts malveillants, il est donc prudent de ne pas ouvrir ceux provenant de sources inconnues.
- Les campagnes de phishing se diversifient et s’adaptent constamment pour contourner les nouvelles mesures de sécurité.
- Il est conseillé d’utiliser des solutions antivirus à jour pour détecter les menaces potentiellement dangereuses.
Au-delà de la simple vigilance, cela soulève des questions sur la sécurité numérique et notre capacité à nous adapter face à l’ingéniosité des cybercriminels. Quelle en sera la prochaine évolution ? Les utilisateurs et les entreprises doivent se préparer à des menaces toujours plus sophistiquées.