La mise à jour à ne pas manquer : fin du support pour Office 2016 et Office 2019

Lire la suite
Nous utilisons l'intelligence artificielle pour les traductions de sites et, bien que nous nous efforcions d'être précis, il se peut que les traductions ne soient pas toujours exactes à 100 %. Nous vous remercions de votre compréhension.
Domicile/ Blog / Comment stopper les attaques de phishing basées sur les...
Sécurité des fichiers

How to Stop SVG-Based Phishing Attacks with Deep CDR™ Technology

par Vinh Lam, gestionnaire principal de programme technique
Partager cet article

Attackers increasingly weaponize SVG files with embedded JavaScript and Base64‑encoded payloads to deliver phishing pages and malware while evading traditional detection. Deep CDR™ Technology, one of the core technologies that powers MetaDefender Core™, neutralizes this class of attack by removing all active content (scripts, external references, event handlers, etc.) and delivering a clean, standards‑compliant image that preserves functionality while eliminating risk. Normal, trustworthy SVGs (Scalable Vector Graphics) do not need JavaScript, so it is removed by default.

Pourquoi SVG ?

Le véhicule parfait pour les charges utiles d'hameçonnage

SVG est un format d'image vectorielle basé sur XML, et non une simple image bitmap.

Capture d'écran du code SVG illustrant la manière dont les attaques de phishing svg peuvent intégrer des charges utiles malveillantes dans des images vectorielles.
Exemple de code d'un SVG

Un fichier SVG peut inclure

  • Scripts
  • Gestionnaires d'événements
  • Références externes

Ces caractéristiques sont utiles pour les graphiques interactifs, mais les pirates les exploitent pour :

  • Exécuter un code malveillant
  • Injecter des données XML malveillantes
  • Récupérer du contenu externe
  • Créer de fausses pages de connexion

Les attaquants combinent également les SVG avec la contrebande HTML/JS en intégrant des charges utiles Base64 dans des images apparemment inoffensives et en les décodant au moment de l'exécution. Cette technique fait désormais l'objet d'un suivi officiel en tant que MITRE ATT&CK "SVG Smuggling" (T1027.017).

Principaux enseignements

In normal enterprise content workflows (logos, icons, diagrams), SVGs don’t require JavaScript or active content. If you find <script>, event handlers, or remote references in an inbound SVG, treat them as risky.

Ce que nous observons dans la nature

Pièce jointe à un courriel avec décodage Base64 Phishing

  • Livraison : Un courriel de routine contient une pièce jointe .svg que de nombreuses passerelles de messagerie traitent comme une image.
  • Technique: Inside the SVG, an obfuscated <script> reconstructs a phishing page from a Base64 blob and loads it in the browser.

Un site Web Drive qui utilise des gestionnaires d'événements pour la redirection

  • Livraison : Un site compromis ou contenant des fautes de frappe utilise une superposition SVG transparente avec des régions cliquables.
  • Technique : Les attributs d'événements (onload, onclick) déclenchent des redirections à l'aide du décodage Base64.

Pourquoi la détection a du mal à s'imposer ici

Les approches traditionnelles telles que les signatures, les règles de configuration et l'inspection statique du code échouent lorsque les attaquants :

  • Obfusquer à l'aide de Base64, de XOR, d'un remplissage de texte indésirable ou de modèles polymorphes.
  • Différer l'exécution jusqu'au moment de l'exécution (par exemple, onload), ce qui rend l'analyse statique peu fiable.
  • Cacher la logique derrière les fonctions SVG légitimes telles que les gestionnaires d'événements et les références externes.

Fait intéressant

Le SVG est utilisé par 92 % des 1000 premiers sites web pour les icônes et les graphiques, selon les données de HTTP Archive.

"Si c'est actif, c'est risqué".

Deep CDR™ Technology for SVG

Deep CDR™ Technology, one of the core technologies that powers MetaDefender Core, doesn’t try to guess what is malicious. It assumes any executable or active content in untrusted files is risky and removes or sanitizes it.

Pour les SVG, cela signifie

  • Remove JavaScript: Strips out any <script> elements and inline scripts to prevent code execution.
  • Supprimer CDATA : élimine le code caché à l'intérieur des sections CDATA qui pourrait intégrer une logique nuisible.
  • Supprimer l'injection : Bloque le contenu injecté susceptible d'exécuter des programmes malveillants.
  • Traiter l'image : Assainissement récursif des images intégrées et suppression des images externes.
  • Normaliser et reconstruire : Crée un SVG conforme aux normes avec uniquement des éléments visuels sûrs.
  • Optionnellement Rastériser : Convertit les SVG en PNG ou PDF pour les flux de travail qui ne nécessitent pas d'interactivité vectorielle.

Cette approche est conforme aux recommandations en matière de sécurité : assainir ou mettre en bac à sable les SVG (ou les rastériser) afin d'empêcher l'exécution du code.

Top Use Cases with Deep CDR™ Technology

Passerelles de courrier électronique

Assainir les pièces jointes entrantes et les fichiers liés (URL résolus par téléchargement) avant la livraison. Les SVG convertis en SVG propres empêchent les collecteurs d'informations d'identification d'effectuer le rendu et les téléchargeurs de déclencher l'envoi.

Plateformes de collaboration

Apply Deep CDR™ Technology to files shared through tools like Teams, Slack, or SharePoint. Sanitizing SVGs here ensures that no hidden login screens or malicious scripts can trick users during everyday collaboration.

Portails de téléchargement sur le web

Appliquez la désinfection à tous les fichiers téléchargés sur vos sites web, CMS ou systèmes de gestion des ressources numériques. Cela empêche les pirates de dissimuler du code dangereux dans ce qui semble être un simple logo ou un graphique.

Transfert de fichiers et MFT Managed File Transfer

Integrate Deep CDR™ Technology into file transfer workflows so every file, especially those from partners or vendors, is safe to use before entering your network. This reduces supply chain risks from compromised assets.

Impact sur les entreprises

Ignorer l'assainissement du SVG peut conduire à :

  • Vol de données d'identification : De fausses pages de connexion recueillent les informations d'identification des utilisateurs.
  • Infections par des logiciels malveillants : Les chaînes de redirection livrent des ransomwares ou des voleurs.
  • Violations de la conformité : Les violations de données sensibles peuvent entraîner des amendes et des atteintes à la réputation.

Bonnes pratiques pour prévenir les attaques basées sur les SVG

  • Position par défaut : Pas de JavaScript dans les SVG provenant de sources non fiables.
  • Sanitize or rasterize: Apply Deep CDR™ Technology to all inbound SVG files.
  • Combiné avec le CSP : à utiliser comme défense en profondeur et non comme contrôle principal.
  • Audit et enregistrement : Suivi de chaque action d'assainissement à des fins de conformité et de criminalistique.

Réflexions finales

SVG-based phishing is not theoretical, it’s happening now. Detection-based tools can’t keep up with evolving obfuscation techniques. Deep CDR™ Technology offers a deterministic, zero-trust approach, removing the risk before it reaches your users.

Réserver une démonstration
Tags :

Derniers messages

S'inscrire à la lettre d'information OPSWAT

Obtenez les dernières mises à jour de la société OPSWAT ainsi que des informations sur les événements et les nouvelles qui font avancer l'industrie OPSWAT les nouvelles qui font avancer l'industrie.
Signez-moi

Suivez-nous sur les réseaux sociaux Media

Suivez OPSWAT sur LinkedIn, Facebook, Twitter et YouTube pour en savoir plus !

Restez à jour avec OPSWAT!

Inscrivez-vous dès aujourd'hui pour recevoir les dernières mises à jour de l'entreprise, de l'entreprise, des histoires, des informations sur les événements, et plus encore.
S'abonner