Sie sind hier: Startseite News & Störmeldungen Nachrichten & Informationen 2025-06-12 14:51: Aktuelle …

2025-06-12 14:51: Aktuelle Phishing-Kampagnen mit svg-Anhängen

Momentan finden weltweit Phishing-Kampagnen statt, die über schadhafte svg-Anhänge versuchen, Rechner und Konten zu kompromittieren.

Die Phishing-Kampagnen tarnen sich über E-Mails z.B. mit Verweis auf offene Rechnungen. Die "Rechnung" ist dann als schadhafte svg-Datei im Anhang. E-Mails, die diesen Phishing-Kampagnen zugeordnet werden können, erreichen bereits auch die Uni Freiburg.

Diese Dateien sollten nicht geöffnet werden. Mit der Installation von GDATA schützen sie sich und ihre Rechner vor solchen E-Mails, da GDATA im besten Fall die schadhaften Anhänge erkennt und ein Öffnen verhindert. 

Stellen Sie daher sicher, dass GDATA auf Ihrem Endgerät installiert ist, siehe [1].

Weitere Hinweise zu den aktuellen Phishing-Kampagnen gibt es unter [2], [3] und [4].

 

Details zur Phishing-Kampagne mit schadhaften svg-Dateien:

 

Beschreibung

CERT.at warnt vor stark zunehmenden Phishing-Kampagnen, bei denen manipulierte SVG-Dateien (Scalable Vector Graphics) als E-Mail-Anhänge verwendet werden. Diese Angriffsmethode wird seit mehreren Monaten verstärkt beobachtet und stellt eine ernsthafte Bedrohung dar, da SVG-Dateien von vielen Sicherheitslösungen nicht ausreichend geprüft werden.

Auswirkungen

 Durch das Öffnen manipulierter SVG-Dateien können Angreifer:

  • JavaScript-Code auf dem System des Opfers ausführen.
  • Schadsoftware nachladen und installieren.
  • Phishing-Formulare direkt in der SVG-Datei anzeigen.
  • Automatische Weiterleitungen zu bösartigen Webseiten auslösen.
  • Zugangsdaten und andere sensible Informationen stehlen.


Technische Details

SVG-Dateien sind XML-basierte Textdateien zur Darstellung von Vektorgrafiken. Angreifer nutzen folgende Eigenschaften aus:

  • Eingebettetes JavaScript: SVG-Dateien können script-Tags enthalten, die JavaScript-Code ausführen.
  • ForeignObject-Element: Ermöglicht die Einbettung von HTML-Inhalten und interaktiven Formularen direkt in der SVG-Datei.
  • Automatische Ausführung: Beim Öffnen der SVG-Datei im Browser wird eingebetteter Code automatisch ausgeführt.
  • Geringe Erkennungsrate: Da SVG-Dateien hauptsächlich aus Text bestehen, werden sie von vielen Antivirenprogrammen nicht als verdächtig eingestuft.


Die Angreifer verwenden verschiedene Verschleierungstechniken wie Unicode-Escape-Encoding und String-Verkettung, um die Erkennung weiter zu erschweren.

Aktuelle Kampagne: Strela Stealer

CERT.at beobachtet derzeit verstärkt SVG-basierte Phishing-Kampagnen in Österreich, die den Strela Stealer verbreiten. Diese Schadsoftware ist speziell darauf ausgelegt, E-Mail-Zugangsdaten zu stehlen.

Ablauf der Infektion: 

  • SVG-Anhang: Opfer erhalten eine E-Mail mit einer manipulierten SVG-Datei als Anhang (aktuell z.B. Rechnung_<xyz/Nummer>.svg).
  • JavaScript-Ausführung: Das in der SVG eingebettete JavaScript wird beim Öffnen (nach minimaler Interaktion durch das Opfer) ausgeführt.
  • ZIP-Download: Das JavaScript lädt automatisch eine ZIP-Datei herunter.
  • JScript-Loader: Die ZIP-Datei enthält eine JScript-Datei, die als Loader fungiert.
  • Payload-Download: Bei positiver Prüfung wird die eigentliche Schadfunktionalität (aktuell Powershell-Scripts) nachgeladen.


 Besonderheiten: 

  • Strela Stealer zielt auf Mozilla Thunderbird und Microsoft Outlook (Authentifizierungs-Daten, potentielle Exfiltration von E-Mails) und kann Screenshots anfertigen.
  • Verwendet mehrstufige Verschleierung und Anti-Analyse-Techniken.
  • Exfiltriert gestohlene Daten über HTTP POST an Command-and-Control-Server.


Betroffene Systeme 

  • Alle Systeme und Anwendungen die SVG-Dateien rendern und JavaScript ausführen können - insbesondere Webbrowser und E-Mail Clients.


Abhilfe / Sofortmaßnahmen:

  • SVG-Dateien in E-Mail-Anhängen generell als verdächtig behandeln.
  • E-Mail-Filter so konfigurieren, dass SVG-Anhänge blockiert oder in Quarantäne verschoben werden. (Achtung: Da SVG-Dateien allgemein durchaus in normaler E-Mail Kommunikation genutzt werden, ist dies zwar eine wirksame, aber vielleicht für normale Geschäftsabläufe hinderliche Methode, die zuvor abhängig der Organisations-Parameter geprüft werden sollte.)
  • Mitarbeiter:innen über diese Angriffsmethode informieren und sensibilisieren.

 

[1] https://wiki.uni-freiburg.de/rz/doku.php?id=gdata_antivirus

[2] Blog-Artikel von IBM (Englisch):
https://www.ibm.com/think/x-force/weaponized-svgs-inside-a-global-phishing-campaign-targeting-financial-institutions

[3] Artikel von Bleepingcomputer (Englisch): https://www.bleepingcomputer.com/news/security/phishing-emails-increasingly-use-svg-attachments-to-evade-detection/

 [4] https://www.heise.de/news/E-Mail-Sicherheit-Verstaerkte-Angriffe-mit-SVG-10444330.html 

Stand: 2025-06-13, 18:00, MH