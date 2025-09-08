Facebook Twitter Youtube

Individuato malware nei file SVG che può eludere gli antivirus per PC

Di Mauro Notarianni
Immagine creata con Microsoft Designer

SVG (Scalable Vector Graphics) è un formato di file vettoriale, basato sul metalinguaggio XML, che può essere sfruttato per creare immagini a qualsiasi risoluzione. Questa tipologia di file è normalmente innocua ma può incorporare HTML e codice JavaScript e tale peculiarità a quanto pare è stata sfruttata per veicolare malware.

VirusTotal (sito web di proprietà di Google che permette l’analisi gratuita di file e URL) riferisce di una campagna che sfrutta file SVG per infiltrare un malware che si presenta come un avviso legale del sistema giuridico colombiano ed è in grado di eludere i controlli antivirus.

All’apertura il file mostra un realistico portale web completo con una finta barra progressiva e un pulsante download. Il pulsante scarica un file ZIP malevolo che contiene un eseguibile (per Windows) del browser Comodo Dragon e un file .DLL che infetta il sistema con altro malware.

La possibilità di incorporare HTML e JavaScript nei file SVG non è a tutti nota ma questa può essere usata per creare mini pagine web o, come nel caso sopra, sistemi di phishing, da richiamare da una apparentemente innocua mail o da un sito che ospita il file.

VirusTotal riferisce di avere scansionato 523 file SVG legati alla campagna e 44 di questi sono passati al momento come completamente indisturbati dai vari motori antivirus.

Esaminando il codice sorgente dei file SVG in questione si evince che sfruttano tecniche per l’offuscamento del codice e “grandi quantità di codice dummy” (codice finto, spazzatura) per aumentare l’entropia ed eludere il rilevamento statico.

Non è la prima volta

Non è la prima volta che vengono individuati malware in file SVG: sono stati usati in precedenti campagne per nascondere script dannosi, sfruttando la possibilità di gestire l’HTML e avviare eseguibili, ma anche di reindirizzare automaticamente i browser ai siti che ospitano moduli di phishing quando l’immagine viene aperta.

Per tutti gli aggiornamenti sulla sicurezza informatica è possibile consultare la sezione dedicata di Macitynet.

