Kiberdələduzlar SVG fayllarını fişinq hücumlarında necə istifadə edir?

13 Aug 2025

Kiberdələduzlar SVG fayllarını fişinq hücumlarında necə istifadə edir?

Müasir və daim dəyişən kibertəhlükəsizlik mənzərəsində kiberdələduzlar ənənəvi müdafiə mexanizmlərini keçmək üçün daim yeni yollar axtarırlar. Son dövrlərdə ortaya çıxan ən gizli və təhlükəli üsullardan biri “Scalable Vector Graphics” (SVG) formatından istifadədir. Adətən veb-saytlar və tətbiqlər üçün təmiz, keyfiyyətini itirmədən miqyası dəyişən şəkillərlə əlaqələndirilən bu format, zərərsiz görünüşünün altında mürəkkəb fişinq hücumlarını icra edə bilən təhlükəli skriptlər gizlədə bilər.

Bu məqalədə SVG fayllarının necə silaha çevrildiyi, niyə çox vaxt aşkarlanmadan keçdiyi və təşkilatların bu təhlükədən necə qoruna biləcəyindən bəhs edilib.

SVG: Sadəcə şəkil formatı deyil!

SVG faylları JPEG və PNG kimi ənənəvi şəkil formatlarından əsaslı şəkildə fərqlənir. Piksel məlumatı saxlamaq əvəzinə, vektor yollarını, formaları və mətnləri təsvir etmək üçün XML əsaslı kod istifadə edilə bilər. Bu, faylların istənilən ölçüdə keyfiyyət itkisi olmadan istifadə olunmasına imkan verir. Lakin eyni struktur SVG fayllarına “JavaScript” kodlarını yerləşdirməyə şərait yaradır. Fayl brauzerdə açıldıqda bu kod avtomatik icra olunur — Windows sistemlərində isə bu, standart olaraq baş verir.

Yayılma Mexanizmləri

E-poçt əlavələri: Mövzusu diqqət cəlb ediləcək şəkildə hazırlanmış və göndərici məlumatları etibarlı qurum kimi saxtalaşdırılmış hədəfli fişinq e-poçtları vasitəsilə çatdırılır.
Bulud saxlama linkləri: “Dropbox”, “Google Drive”, “OneDrive” və s. vasitəsilə paylaşılır, çox vaxt e-poçt filtrlərini asanlıqla keçir.

Şəkildə SVG əsaslı fişinq hücumunun dörd mərhələdən ibarət prosesi təsvir olunur: Hücum, zərərsiz görünən SVG əlavəsi olan e-poçtun göndərilməsi ilə başlayır. İstifadəçi faylı açdıqda, brauzerdə avtomatik olaraq “JavaScript” kodu işə düşür və nəticədə qurban, giriş məlumatlarını oğurlamaq üçün hazırlanmış fişinq saytına yönləndirilir.

Hücum necə həyata keçirilir?

Hədəf şəxs SVG əlavəsi olan e-poçtu aldıqda və faylı açdıqda, əgər SVG fayllarını idarə etmək üçün xüsusi proqram təyin edilməyibsə, sənəd adətən standart veb brauzerdə işə düşür. Bu isə faylın daxilində yerləşdirilmiş skriptlərin dərhal icra olunmasına imkan yaradır.

Kiberdələduzlar tez-tez “Reminder for your Scheduled Event 7212025.msg” və ya “Meeting-Reminder-7152025.msg” kimi aldadıcı mövzulara sahib fişinq e-poçtları göndərirlər. Bu məktublara “Upcoming Meeting.svg” və ya “Your-to-do-List.svg” kimi zərərsiz görünən fayl adları əlavə olunur ki, şübhə yaratmasın. İstifadəçi faylı açdıqda, SVG daxilində yerləşdirilmiş “JavaScript” kodu işə düşür və qurbanı “Microsoft 365” və ya “Google Workspace” kimi etibarlı xidmətlərin dizaynını təqlid edən fişinq səhifəsinə yönləndirir.

Təhlil edilən SVG nümunəsində kiberdələduz, zərərli məntiqi gizlətmək üçün “<script>” teqini SVG faylına yerləşdirərək onu “CDATA” bölməsində saxlayır. Kodun daxilində uzun “hex” formatında kodlaşdırılmış Y adlı dəyişən və qısa “XOR” açarı (q) mövcuddur. Fayl emal olunduqda bu məlumat deşifrə edilir və “JavaScript” yükünə çevrilir. Daha sonra bu yük “window.location = 'javascript:' + v;” ifadəsi ilə icra olunaraq istifadəçi faylı açan kimi onu fişinq saytına yönləndirir.

Kodun içindəki istifadə olunmamış “g.rume@mse-filterpressen.de” e-poçt ünvanı isə ehtimal ki, diqqəti yayındırmaq və ya hədəfli çatdırılmanın bir hissəsi kimi əlavə edilib.

Dekodlaşdırmadan sonra müəyyən olunub ki, C2 fişinq linki belədir:

hxxps://hju[.]yxfbynit[.]es/koRfAEHVFeQZ!bM9

Link, “Cloudflare CAPTCHA” qoruması ilə müdafiə olunan fişinq veb-saytına yönləndirir. İstifadəçi “robot olmadığını” təsdiqləmək üçün qutunu işarələdikdən sonra, kiberdələduzların nəzarətində olan zərərli səhifəyə avtomatik olaraq keçir.

Bu səhifədə, real “Office 365” giriş formasına bənzər interfeys yerləşdirilib. Bu, fişinq qrupuna istifadəçinin e-poçt və şifr məlumatlarını eyni vaxtda ələ keçirmək və təsdiqləmək imkanı verir.

SVG əsaslı təhdidlərə qarşı mübarizədə

Kiberdələduzlar daim yeni üsullar inkişaf etdirdikcə, təşkilatlar da zahirən zərərsiz görünən SVG kimi fayl formatlarının gizli risklərini dərk etməlidirlər. Təhlükəsizlik komandaları aşağıdakı tədbirləri görməlidir:

SVG faylları üçün dərin məzmun analizini tətbiq etmək;
Etibarsız mənbələrdən gələn SVG fayllarının brauzerdə avtomatik açılmasını söndürmək;
İşçiləri tanımadıqları əlavələri açmağın riskləri barədə maarifləndirmək;
E-poçt və veb-traffikində qeyri-adi yönləndirmə və skript fəaliyyətlərini izləmək.

SVG faylları tərtibatçılar üçün güclü vasitə ola bilər, lakin kiberdələduzların əlində təhlükəli silaha çevrilir. Bu təhlükəyə qarşı məlumatlı olmaq və proaktiv müdafiə tədbirlərini həyata keçirmək, təhlükəsiz qalmağın əsas yoludur.

İndikatorlar (IOCs)

c78a99a4e6c04ae3c8d49c8351818090

f68e333c9310af3503942e066f8c9ed1

2ecce89fa1e5de9f94d038744fc34219

6b51979ffae37fa27f0ed13e2bbcf37e

4aea855cde4c963016ed36566ae113b7

84ca41529259a2cea825403363074538

Xəbərdarlıqlar

Kiberdələduzlar SVG fayllarını fişinq hücumlarında necə istifadə edir?

Digər xəbərlər

"Azərpoçt" MMC adından fişinq mesajları

Naməlum şəxslərin mobil telefonları ilə bağlı kömək istəklərinə qarşı diqqətli olun!

Kiberdələduzluq halları ilə bağlı xəbərdarlıq

“Oracle WebLogic Server” platformasında uzaqdan kod icrası riski (CVE-2026-21992-21992) aşkarlanıb.

“Google Chrome” brauzerində uzaqdan kod icrası (Remote Code Execution) riski aşkarlanıb- CVE-2026-2441.

Vətəndaşlara qarşı genişmiqyaslı fişinq kampaniyası aşkarlanıb.

“Cisco IOS XE” əməliyyat sistemində boşluq (CVE-2026-27825) aşkarlanıb.

“Google Chrome” brauzerində boşluq (CVE-2026-1281) aşkarlanıb.

Elektron Təhlükəsizlik Xidməti adından istifadə edən tədris mərkəzlərinə inanmayın!