อีเมลฟิชชิงเริ่มใช้ไฟล์แนบ SVG มากขึ้นเพื่อหลีกเลี่ยงการตรวจจับ

ผู้ไม่หวังดีเริ่มใช้ไฟล์แนบ Scalable Vector Graphics (SVG) มากขึ้นเพื่อแสดงแบบฟอร์มฟิชชิง หรือแพร่กระจายมัลแวร์ และหลีกเลี่ยงการตรวจจับ

ไฟล์รูปภาพส่วนใหญ่บนเว็บไซต์เป็นไฟล์ JPG หรือ PNG ซึ่งจะประกอบไปด้วยตารางของสี่เหลี่ยมเล็ก ๆ ที่เรียกว่า พิกเซล (pixel) โดยแต่ละพิกเซลมีค่าสีเฉพาะ และพิกเซลเหล่านี้จะรวมกันเป็นภาพทั้งหมด

SVG หรือ Scalable Vector Graphics จะแสดงรูปภาพในรูปแบบที่แตกต่างออกไป เนื่องจากแทนที่จะใช้พิกเซล ภาพจะถูกสร้างขึ้นด้วยเส้น, รูปร่าง และข้อความที่อธิบายไว้ในสูตรทางคณิตศาสตร์ในโค้ด

ตัวอย่างเช่น ข้อความต่อไปนี้จะสร้างสี่เหลี่ยมผืนผ้า, วงกลม, ลิงก์ และข้อความ

เมื่อเปิดไฟล์ในเบราว์เซอร์ ไฟล์จะสร้างกราฟิกที่อธิบายไว้ในข้อความข้างต้น

เนื่องจากรูปภาพเหล่านี้เป็น vector images มันจะปรับขนาดได้โดยอัตโนมัติ โดยไม่สูญเสียคุณภาพของรูปภาพ หรือรูปทรง ทำให้เหมาะกับการใช้งานในแอปพลิเคชันเว็บที่อาจมีความละเอียดที่แตกต่างกัน

การใช้ไฟล์แนบ SVG เพื่อหลีกเลี่ยงการตรวจจับ

การใช้ไฟล์แนบ SVG ในแคมเปญฟิชชิงไม่ใช่เรื่องใหม่ โดยผู้ไม่หวังดีเริ่มใช้ไฟล์ SVG ในแคมเปญฟิชชิงมากขึ้น ตามข้อมูลจากนักวิจัยด้านความปลอดภัย MalwareHunterTeam ซึ่งได้แชร์ตัวอย่างล่าสุดกับ BleepingComputer

ตัวอย่างเหล่านี้ และตัวอย่างอื่น ๆ ที่ถูกพบโดย BleepingComputer แสดงให้เห็นถึงความหลากหลายของไฟล์ SVG เนื่องจากไม่เพียงแค่สามารถแสดงกราฟิกได้ แต่ยังสามารถแสดง HTML โดยใช้แท็ก <foreignObject> และรัน JavaScript เมื่อกราฟิกถูกโหลด

สิ่งนี้ทำให้ผู้ไม่หวังดีสามารถสร้างไฟล์แนบ SVG ที่ไม่เพียงแค่แสดงภาพ แต่ยังสามารถสร้างแบบฟอร์มฟิชชิงเพื่อขโมยข้อมูล credentials ได้

ตามที่แสดงด้านล่าง ไฟล์แนบ SVG ล่าสุด ( VirusTotal ) จะแสดงตาราง Excel ปลอมที่มีแบบฟอร์มการเข้าสู่ระบบในตัว ซึ่งเมื่อทำการส่งข้อมูล ฟอร์มนั้นจะส่งข้อมูลไปยังผู้ไม่หวังดี

ไฟล์แนบ SVG อื่น ๆ ที่ใช้ในแคมเปญล่าสุด ( VirusTotal ) ปลอมเป็นเอกสารทางการ หรือขอข้อมูลเพิ่มเติม โดยให้ผู้ใช้งานคลิกปุ่มดาวน์โหลด ซึ่งจะทำการดาวน์โหลดมัลแวร์จากเว็บไซต์ภายนอก

แคมเปญอื่น ๆ ใช้ไฟล์แนบ SVG และ JavaScript ที่ฝังไว้ เพื่อทำการเปลี่ยนเส้นทางเบราว์เซอร์ไปยังเว็บไซต์ที่มีแบบฟอร์มฟิชชิงเมื่อเปิดภาพ

ปัญหาคือเนื่องจากไฟล์เหล่านี้ส่วนใหญ่เป็นแค่การแทนค่าภาพในรูปแบบข้อความ ทำให้ไม่ถูกตรวจจับโดยซอฟต์แวร์ด้านความปลอดภัย จากตัวอย่างที่พบโดย BleepingComputer และอัปโหลดไปยัง VirusTotal พบว่า อย่างมากที่สุดจะมีการตรวจจับแค่หนึ่ง หรือสองผู้ให้บริการซอฟต์แวร์ด้านความปลอดภัย

ด้วยเหตุนี้ การได้รับไฟล์แนบ SVG จึงไม่ใช่เรื่องปกติสำหรับการใช้งานอีเมล และควรพิจารณาว่าเป็นเหตุการณ์ที่ผิดปกติทันที

เว้นแต่กรณีที่คุณเป็นนักพัฒนาซอฟต์แวร์ และอาจจะเป็นไปได้ที่ได้รับไฟล์แนบประเภทนี้ แต่การลบอีเมลเมื่อได้รับไฟล์แนบเหล่านี้จะเป็นวิธีการที่ปลอดภัยที่สุด

ที่มา : bleepingcomputer