Maliziöse Machenschaften


Sprunghafter Anstieg von Phishing-Attacken mit SVG-Grafikdateien
Malware und Phishing, die über die beliebten und viel genutzten SVG-Grafik- und Bilddateien eingeschleust werden, erleben nach den Beobachtungen von Sophos X-Ops seit Januar 2025 einen rasanten Anstieg


In einem neuen Report von Sophos X-Ops berichten die Sicherheitsexperten von einem sprunghaften Anstieg von Malware- und Phishing-Angriffen, die mit Hilfe von SVG-Dateien durchgeführt werden. Die Cyberkriminellen nutzen das weit verbreitete SVG-Grafikformat verstärkt für ihre Zwecke und versuchen damit die automatische Erkennung von Phishing- und Spam-Schutzlösungen zu umgehen.

Unter Beobachtung stehen die maliziösen Machenschaften mit dem SVG-Bildformat seit 2024. Das skalierbare SVG-Vektorgrafik-Dateiformat (Scalable Vector Graphics) ist die vom World Wide Web Consortium (W3C) empfohlene Spezifikation zur Beschreibung zweidimensionaler Vektorgrafiken und seit 2001 in Gebrauch. Alle gängigen Browser unterstützen SVG und weltweit haben weit über die Hälfte aller Webseiten SVG-Grafiken im Einsatz.

Die generellen Vorteile von SVG sind der Grund, weshalb auch Cyberkriminelle zunehmend intensiv auf dieses Format für ihre illegalen Aktivitäten setzen. Einerseits lässt die weite Verbreitung von SVG-Grafiken diese für den Anwender auch in Phishing-E-Mails als ungefährlich erscheinen. Auf der anderen Seite nutzen die Cyberkriminellen die Tatsache, dass SVG-Formate im Vergleich zu anderen, rein binären Bild-Formaten wie JPG oder TIF, auch einen Teil XML-Code im Gepäck haben. Dies ermöglicht es den Angreifenden, ihren Code leicht einzubinden und unbemerkt zu transportieren. Beim Empfänger oder Anwender lösen die Grafik-Dateien nach dem Öffnen – das vielfach automatische erfolgt – ihre bösartigen Aktionen unbemerkt im Hintergrund aus.

"Dass Cyberkriminelle das SVG-Dateiformat für ihre Angriffe nutzen, wissen wir und wir haben unsere Spam- und Phishing-Schutzlösungen auf diese Angriffsvariante vorbereitet. Das perfide an dieser Angriffsmethode ist, dass der Anwendende keinerlei Anhaltspunkte mehr bekommt, um zu entscheiden, ob etwas Phishing ist oder nicht. Beim Einbetten von Malware in den XML-Code läuft alles im Hintergrund ab. Die wichtige Sicherheitskomponente, die ein verantwortungsvoller Mitarbeitender darstellt, ist damit weitgehend ausgeschaltet. Ergo müssen die technischen Erkennungsmethoden inklusive KI umso mehr darauf trainiert sein, ungewöhnliches Verhalten auf Arbeitsrechnern und im Netzwerk zu erkennen und abzuwehren", erklärt Michael Veit, Cybersecurity-Experte bei Sophos.
Laut Sophos X-Ops nimmt die Raffinesse der Angriffe mit dem SVG-Dateiformat zu. Zudem haben die Cyberkriminellen ihre Methoden verfeinert, um noch überzeugender zu wirken. Jetzt fanden die Security-Spezialist:innen in diesem Zusammenhang auch lokalisierte Phishing-Seiten, die auf die Landessprachen ihrer Angriffsziele abgestimmt sind.

Die neuesten Erkenntnisse zur böswilligen Nutzung von SVG-Dateiformaten für Phishing-Angriffe werden vom Sophos X-Ops Team hier detailliert beschrieben: https://news.sophos.com/en-us/2025/02/05/svg-phishing/. (Sophos: ra)

eingetragen: 18.02.25

Sophos: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>


Meldungen: Cyber-Angriffe

  • Was ist OT Cyber Threat Intelligence?

    Cyber Threat Intelligence (CTI) beschreibt das Sammeln, Verarbeiten, Analysieren, Verbreiten und Integrieren von Informationen über aktive oder aufkommende Cyber-Bedrohungen. Der wesentliche Zweck von CTI besteht darin, bösartige Cyber-Aktivitäten und -Gegner aufzudecken und dieses Wissen den Entscheidungsträgern im Unternehmen zur Verfügung zu stellen.

  • Schwachstellen in der IT-Infrastruktur

    Hat der VW-Konzern ein Datenleck wird darüber in allen Medien berichtet, doch VW und andere Großkonzerne mit Cybersicherheitsschwierigkeiten stellen nur die Spitze des Eisbergs dar. Das Rückgrat der deutschen Wirtschaft bilden die kleinen und mittelständischen Unternehmen (KMU), zu denen rund 99 Prozent aller Unternehmen in Deutschland zählen. Diese Unternehmen sind praktisch jeden Tag zahlreichen Angriffsversuchen aller Art ausgesetzt. Sie stellen in den Augen der Angreifer oft die Ziele dar, die den geringsten Widerstand leisten. Dadurch wirken sie für Angreifer besonders attraktiv. Auch wenn Erpressungsversuche etc. bei KMU meist nicht die Summen einbringen, wie das bei Großkonzernen der Fall ist, ist es die "Masse", die es letztlich für die Angreifer unterm Strich lukrativ macht.

  • Engagierter IT-Admin: Mehr Fluch als Segen?

    Sogar Cybersecurity-Experten, die sich den ganzen Tag mit nichts anderem als IT-Sicherheit beschäftigen, haben heute Mühe, sich auf dem aktuellen Stand der Entwicklungen zu halten. Wie sollen da unterbesetzte IT-Abteilungen Cybersicherheit für ihr Unternehmen gewährleisten? Es wird Zeit, dass die Chefetage die Verantwortung für die IT-Security an sich zieht, Raum für eine ehrliche Situationsanalyse schafft und engagierte IT-Admins sich die Grenzen ihrer eigenen Ressourcen eingestehen.

Mirai und DDoS gehen Hand in Hand Angriffsfläche Software

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen