SVG (Scalable Vector Graphics) è un formato di file vettoriale, basato sul metalinguaggio XML, che può essere sfruttato per creare immagini a qualsiasi risoluzione. Questa tipologia di file è normalmente innocua ma può incorporare HTML e codice JavaScript e tale peculiarità a quanto pare è stata sfruttata per veicolare malware.
VirusTotal (sito web di proprietà di Google che permette l’analisi gratuita di file e URL) riferisce di una campagna che sfrutta file SVG per infiltrare un malware che si presenta come un avviso legale del sistema giuridico colombiano ed è in grado di eludere i controlli antivirus.
All’apertura il file mostra un realistico portale web completo con una finta barra progressiva e un pulsante download. Il pulsante scarica un file ZIP malevolo che contiene un eseguibile (per Windows) del browser Comodo Dragon e un file .DLL che infetta il sistema con altro malware.
La possibilità di incorporare HTML e JavaScript nei file SVG non è a tutti nota ma questa può essere usata per creare mini pagine web o, come nel caso sopra, sistemi di phishing, da richiamare da una apparentemente innocua mail o da un sito che ospita il file.
VirusTotal riferisce di avere scansionato 523 file SVG legati alla campagna e 44 di questi sono passati al momento come completamente indisturbati dai vari motori antivirus.
Esaminando il codice sorgente dei file SVG in questione si evince che sfruttano tecniche per l’offuscamento del codice e “grandi quantità di codice dummy” (codice finto, spazzatura) per aumentare l’entropia ed eludere il rilevamento statico.
Non è la prima volta
Non è la prima volta che vengono individuati malware in file SVG: sono stati usati in precedenti campagne per nascondere script dannosi, sfruttando la possibilità di gestire l’HTML e avviare eseguibili, ma anche di reindirizzare automaticamente i browser ai siti che ospitano moduli di phishing quando l’immagine viene aperta.
Per tutti gli aggiornamenti sulla sicurezza informatica è possibile consultare la sezione dedicata di Macitynet.
