SVG-Datei im E-Mail-Anhang: Gefahr durch Schadcode
Die meisten Menschen kennen SVG-Dateien als harmloses Format für Vektorgrafiken, das häufig für Logos, Icons oder Diagramme eingesetzt wird. Doch SVG kann mehr – und zwar mehr, als manchem lieb ist. Warum SVG aktuell zu einer steigenden Bedrohung wird und wie Sie sich vor Angriffen mit SVG-Dateien schützen können, erfahren Sie in unserem Blogartikel.
Warum sind SVG-Dateien gefährlich?
In letzter Zeit nutzen Kriminelle verstärkt SVG-Dateien, um Malware- und Phishing-Angriffe auszuführen. SVG-Dateien gelten auf den ersten Blick als harmlos – schließlich handelt es sich um einfache Vektorgrafiken.
Allerdings sind SVG-Dateien im Kern XML-Dokumente – das bedeutet, sie können neben reiner Grafikbeschreibung auch verschiedene Code-Elemente enthalten. Einige davon sind nützlich, andere potenziell gefährlich.
Zu den gefährlichen Elementen beziehungsweise Code-Typen in SVG-Dateien zählt JavaScript, das bei direkter Einbettung im Browser XSS Smuggling oder HTML Smuggling ermöglicht. So sollen die Opfer auf gefälschte Anmeldeseiten gelockt oder dazu gebracht werden, Schadsoftware zu installieren.
Gefahr nicht erkennbar
Was Angriffe mit SVGs so gefährlich macht, ist auch die Tatsache, dass das Phishing in gewisser Weise unsichtbar ist: Da die Malware im XML-Code steckt, läuft der Angriff vollständig im Hintergrund ab. Dies wiederum macht technische Abwehrmaßnahmen umso wichtiger. Andere Maßnahmen wie beispielsweise Mitarbeitersensibilisierung sind weitgehend wirkungslos.
Das österreichische CERT weist darauf hin, dass sich Angreifern durch das Öffnen von SVG-Dateien zahlreiche Möglichkeiten bieten:
Ziel ist es dabei fast immer, Passwörter oder andere Login-Daten abzugreifen. Die SVGs kommen häufig als Rechnungen, angebliche Sprachnachrichten oder zu signierende Dokumente.
Wie läuft ein Angriff mit SVG-Dateien ab?
Ausgangspunkt ist immer das in Umlaufbringen der bösartigen SVG-Datei, zum Beispiel über Phishing-E-Mails mit Anhang oder Messenger-Dienste (LinkedIn, WhatsApp Web). Ein Beispiel wäre eine vermeintliche PowerPoint-Präsentation, die aber in Wirklichkeit nur ein Bild im SVG-Format ist, die die erste Seite einer Präsentation zeigt.
Beispiel: SVG Smuggling mit der Datei rechnung.svg
<svg xmlns="http://www.w3.org/2000/svg" width="200" height="200">
<script type="text/javascript">
<![CDATA[
const zipData = atob("UEsDBAoAAAAAA..."); // stark gekürzte Base64-ZIP
const blob = new Blob([zipData], { type: "application/zip" });
const link = document.createElement("a");
link.href = URL.createObjectURL(blob);
link.download = "invoice.zip";
link.click();
]]>
</script>
<text x="10" y="50" font-size="20">Loading...</text>
</svg>Erklärung:
Ermöglicht das Einfügen von JS-Code im XML-Kontext
atob(…) Dekodiert eine Base64-codierte ZIP-Datei
Blob(…) Erstellt eine Datei im Arbeitsspeicher
createObjectURL(…) Erzeugt einen Download-Link im Browser
link.click() Simuliert einen Klick, um den Download automatisch auszulösen
Aktueller Fall: Strela Stealer
CERT.at beobachtet derzeit eine verstärkte Anzahl SVG-basierter Phishing-Kampagnen in Österreich, die den Strela Stealer verbreiten. Diese Schadsoftware ist speziell darauf ausgelegt, Zugangsdaten für E-Mail-Konten zu stehlen.
Typischerweise beginnt ein solcher Angriff mit einer E-Mail, die eine manipulierte SVG-Datei im Anhang enthält, die häufig als scheinbar legitime Datei, wie beispielsweise „Rechnung_12345.svg“, getarnt ist. Öffnet das Opfer die Datei, beispielsweise durch einen Klick im E-Mail-Client oder im Browser, wird das darin eingebettete JavaScript aktiviert. Dieses Skript führt nach minimaler Interaktion automatisch die nächste Stufe des Angriffs aus und lädt eine ZIP-Datei auf das System des Opfers herunter.
Die heruntergeladene ZIP-Datei enthält eine JScript-Datei, die als Loader fungiert. Nach dem Start überprüft dieser Loader bestimmte Systembedingungen und lädt anschließend die eigentliche Schadfunktionalität nach. In der aktuell beobachteten Variante handelt es sich dabei um PowerShell-Skripte.
Schutz vor gefährlichen SVG-Dateien – was Sie jetzt tun müssen
Generell gilt es, beim Umgang mit SVG-Dateien vorsichtig zu sein: Öffnen Sie keine SVG-Dateien aus unbekannten E-Mails, ZIP-Archiven oder Messenger-Nachrichten – vor allem dann nicht, wenn diese Dateien generische Namen wie Angebot12345.svg oder ähnliche haben. Ebenso ist es ratsam, SVGs nicht im Browser zu öffnen, sondern in Grafikprogrammen.
NoSpamProxy-Kunden können schadhafte SVG-Dateien abwehren, indem sie im Inhaltsfilter mittels *.svg eine entsprechende Bedingung konfigurieren:
Abhängig von der Inhaltsfilteraktion kann der Anhang dann entfernt, auf das Web Portal hochgeladen oder es kann die ganze E-Mail abgewiesen werden. Da SVG aber ein legitimes Format ist, kann es problematisch sein, E-Mails mit SVG-Dateien grundsätzlich abzuweisen oder die Anhänge zu entfernen. Hier hilft das Level-of-Trust-System weiter, mit dessen Hilfe bekannte von unbekannten Kommunikationspartnern unterschieden werden können.
Sie haben NoSpamProxy noch nicht im Einsatz?
Mit NoSpamProxy können Sie Ihr Unternehmen zuverlässig vor Scamming-Angriffen schützen und von vielen weiteren Sicherheitsfunktionen profitieren. Fordern Sie jetzt Ihre kostenlose Testversion an!
