Um Vetor Antigo para Novos Ataques: Como Arquivos SVG Ofuscados Redirecionam Vítimas

Scalable Vector Graphics tornaram-se uma nova tendência entre atacantes para burlar detecções de spam e phishing. O formato de arquivo SVG é utilizado para exibir gráficos vetoriais e animações que podem ser redimensionados sem perda de resolução e, por padrão, são abertos em navegadores no Windows. No entanto, esses arquivos utilizam XML para descrever a imagem, diferentemente de formatos rasterizados mais comuns como JPEG e PNG. O uso de XML nesses arquivos introduz a possibilidade de JavaScript embutido, abrindo um vetor de ataque para atividades maliciosas.

Arquivos SVG maliciosos utilizam duas táticas principais para lidar com a interação do usuário e redirecionamento: anexos SVG embutidos, que são exibidos no cliente de e-mail com botões de chamada para ação que abrem o navegador e redirecionam para sites de phishing; e anexos independentes, que os usuários podem abrir ou salvar separadamente, acionando o redirecionamento automático no navegador. Neste blog, focaremos na segunda técnica, que contorna as proteções de escaneamento de URLs do cliente de e-mail.

Campanhas recentes de phishing utilizando arquivos SVG como vetor de ataque têm abordado diversos temas: mensagens de voz, digitalizações de impressoras, avisos de remessa e detalhes de transferências bancárias. Nesta publicação, destacaremos 4 campanhas, evidenciando os lures e técnicas de ofuscação utilizadas para burlar as detecções.

Análise da Tendência de Arquivos SVG Maliciosos

Como mostrado na figura 1 abaixo, o uso malicioso de arquivos SVG disparou nos últimos dias em comparação com os 3 meses anteriores. Em especial, desde 17 de março, observamos grandes campanhas de phishing com quase 500 mensagens por dia:

Fig. 1 - Contagem total de arquivos SVG bloqueados por dia de 1º de janeiro a 26 de março

Agora vamos detalhar como funcionam quatro dessas campanhas com SVG:

Campanha SVG de 10 a 11 de março

10–11 de março
Assunto: []VM: [+1786703****] tentou entrar em contato com você em [11/03] reprodução disponível

Fig. 2 - E-mail de phishing com arquivo SVG exibindo isca de mensagem de voz

Essa campanha difere das subsequentes, pois o arquivo SVG contém uma quantidade considerável de gráficos vetoriais reais e texto para exibir a isca da mensagem de voz no cliente de e-mail. Junto com a isca visual, o arquivo SVG inclui um ECMAScript embutido — um padrão de linguagem de script sobre o qual o JavaScript é construído e que ainda é suportado em seus componentes básicos pelos navegadores quase 30 anos após seu lançamento.

O ECMAScript contém uma codificação hexadecimal básica para ocultar a URL de redirecionamento de phishing, que precisa ser aberta em um navegador para que o ataque ocorra.

Fig. 3 - ECMAScript do arquivo SVG com decodificação hexadecimal e de caracteres

A URL de redirecionamento está hospedada no conhecido serviço gratuito da Cloudflare pages[.]dev. A URL de destino exibe uma página de validação de bot da Cloudflare, e o conteúdo de phishing não estava disponível no momento da análise. Recentemente, registramos muitas campanhas maliciosas utilizando free webhosts como pages[.]dev, o que está alinhado com a previsão do X-Labs' 2025 Future Insights. 

IOCs da campanha

• Remetente suspeito: TOBi@tobincenter[.]org
• SHA1 do SVG: 69c9937ae2ddb81a55385aadb3751e572026fa5d
• URL de redirecionamento: hxxps://abe87c29.46b20494-8a43-4c49-8a51-bc2a41cc9c27-e624a29b-c629-4f2f-99.pages[.]dev/voiceseses
• URL de destino: hxxps://vacilandos[.]com/?&
   

Campanha SVG de 17 de março

17 de março
Assunto: Lembrete: Seus Documentos Solicitados para Assinatura –03849828052163mClWG
Essa campanha abandonou os gráficos vetoriais e utilizou um simples (porém mal dimensionado) elemento de retângulo SVG com o texto: “Loading Electronic Signature Required...”

Fig. 4 - E-mail com arquivo SVG exibindo uma caixa de texto básica e mal dimensionada

O arquivo SVG desta campanha não possui ofuscação, contendo apenas uma função setTimeout simples e uma URL de redirecionamento de phishing codificada em texto plano:

Fig. 5 - JavaScript embutido no arquivo SVG com URL de phishing em texto claro

A URL de phishing exibe uma página de login da Microsoft falsa:

Fig. 6 - Página de phishing da Microsoft

IOCs da campanha

• Remetente suspeito: info@cazareinfelix[.]ro
• SHA1 do SVG: 443e4d40c3b80741991a24527f50361d7d871932
• URL de redirecionamento: hxxps://jutebagbd[.]com/js/
• URL de destino: zfilesharout[.]one/?lcfvblhu=d0a5bd6ea92dc93e3c16c5848ea533b5c81cf959f5503a42556849e462335f259b-
  123b7848875914b154f81b51bb48c28b1a991497b96af4aa6c5f32b9430e28&qrc=
  
   

Campanha SVG de 18 de março

18 de março
Assunto: [33sec VN] Recebido em 20/03/2025

Essa campanha se passa por uma transcrição de mensagem de voz, com o nome do remetente como “VM Recording Msg Transcription for ”. O e-mail não possui corpo de texto e contém apenas o arquivo SVG em anexo.

Fig. 7 - E-mail de phishing com nota de voz e arquivo SVG em anexo
 

Fig. 8 - Arquivo SVG com ECMAScript embutido codificado em base64

O arquivo SVG contém dois ECMAScripts: o primeiro é um dummy script com um comentário e o e-mail da vítima inicializado como variável; o segundo é um script codificado em base64 que é ainda mais ofuscado utilizando base64, bytearrays e codificação AES. Isso é decodificado em uma função básica, porém pouco utilizada, window.location.assign, que redireciona o usuário para uma página de phishing de credenciais da Microsoft.

Fig. 9 - ECMAScript decodificado de base64 inicializando variáveis para cyphertext, iv, key e tag
 

Fig. 10 - Variáveis AES decodificadas primeiro com codificação de caracteres, depois base64; seguido de descriptografia AES
 

Fig. 11 - Script de redirecionamento decodificado usando window.location.assign
 

Fig. 12 - Página básica de phishing da Microsoft

IOCs da campanha

• Remetente suspeito: steve@stackgrouprealty[.]com
• SHA1 do SVG: 0360f680476d8ef97c2a7a3f69f86f5fb39e6bd1
• Domínio de phishing: hxxps://test.landgerichtberlin[.]com/e26WUmNsWmMBi4eF7o6zPs9XEJGwROoWzh7tq3c8kuN0EacOSYJ7oflRfFDPBSCM-
  gti1OpVbZqG6u5wadxJUNntu0vakQL832cHpvlVQyrlGjeKbxgRA2nYfKUnH94oTrjHZTyLDY0IC4oXorFPTqy1jh/verify
   

Campanha SVG de 26 de março

26 de março
Assunto: DirectDeposit #741844:Payment:Ref 6a62bbb11f25c1924e264d9e4f118375

Essa campanha é um golpe clássico de pagamento utilizando o serviço de fax eletrônico da GoTo como isca, se passando por um fax do IRS relacionado a um depósito direto. A infraestrutura de envio dessa campanha é o serviço legítimo do Microsoft Tenant. Isso reforça a evidência de que serviços legítimos estão sendo cada vez mais utilizados em atividades maliciosas.

Fig. 13 - E-mail de Microsoft Tenant com iscas de fax da GoTo e IRS, arquivo SVG em anexo

O arquivo SVG desta campanha não possui a complexidade da campanha anterior destacada, indicando que os atacantes que utilizam arquivos SVG retornaram a métodos mais confiáveis de ofuscação. O arquivo contém o habitual ECMAScript embutido codificado em base64. A ofuscação adicional da URL de phishing começa com funções simples de reverse e replace, seguida por decodificação hexadecimal para inteiro com algumas operações de adição e divisão, e finalmente decodificação por códigos de caracteres.

Fig. 14 - Arquivo SVG com ECMAScript embutido codificado em base64

Fig. 15 - ECMAScript decodificado de base64 utilizando reverse, replace, has e codificação de caracteres

A página de phishing apresenta um desafio de bot da Cloudflare e, em seguida, exibe um painel de login da Microsoft com fundo de “Payment Receipt”.

Fig. 16 - Página de phishing de credenciais da Microsoft

IOCs da campanha

• Domínio do remetente do Microsoft Tenant: @bgfbv.onmicrosoft[.]com
• SHA1 do SVG: 06b446f3ffd972de9d30103ea3f824648a81ce63
• URL de phishing: hxxps://thajy.cotrustsystem[.]com/5jUzdNZUxvqpiCSHk4MTVOxlRnoHw8snAssiTjTKgQvoKpZcEcGFhl6WNz14FYbLPSh-
  ItIrmXoKV7Rux4652Cu0SE9U10DEAdf21tL8bMwqaPbkJt2VcIr8wQim7ea5FeX7RCGlfNgQMGqfOyhBuYL/index?a=YmxhaEBibGFoLmNvbQ%3D%3D

Conclusão

Os atacantes estão sempre encontrando formas inovadoras de burlar as proteções. Neste caso, tecnologias mais antigas como arquivos de imagem SVG e ECMAScripts estão sendo utilizadas para redirecionar vítimas a páginas de phishing de credenciais mais tradicionais. A análise recente da X-Labs mostra um aumento significativo no uso de arquivos SVG com código malicioso embutido no último mês. Podemos ainda rastrear a evolução dos ataques observando a mudança nas táticas — desde a exibição de imagens vetoriais, passando por técnicas simples de ofuscação, até codificação AES mais complexa, e retornando a métodos menos sofisticados, porém mais confiáveis, como reverse e replace.

Declaração de Proteção

Clientes da Forcepoint estão protegidos contra essa ameaça nas seguintes etapas do ataque:

• Etapa 2 (Isca) – Entregue via arquivos SVG maliciosos anexados a e-mails. E-mails e URLs embutidas são bloqueados pelas análises do Forcepoint Email Security e Forcepoint Web Security analytics.
• Etapa 3 (Redirecionamento) – URLs de phishing redirecionadas são bloqueadas por meio de análises web.
   

IOCs:

Remetentes:
 

• TOBi@tobincenter[.]org
• info@cazareinfelix[.]ro
• steve@stackgrouprealty[.]com
• @bgfbv.onmicrosoft[.]com

URLs de redirecionamento:

• hxxps://abe87c29.46b20494-8a43-4c49-8a51-bc2a41cc9c27-e624a29b-c629-4f2f-99.pages[.]dev/voiceseses
• hxxps://jutebagbd[.]com/js/bWFnYXppbmVAcG93ZXJhbmRtb3RvcnlhY2h0LmNvbQ==

Domínios de phishing:

• vacilandos[.]com
• zfilesharouts[.]one
• thajy.cotrustsystem[.]com
• test.landgerichtberlin[.]com
   

SVG sha1:

• 69c9937ae2ddb81a55385aadb3751e572026fa5d
• 443e4d40c3b80741991a24527f50361d7d871932
• 0360f680476d8ef97c2a7a3f69f86f5fb39e6bd1
• 06b446f3ffd972de9d30103ea3f824648a81ce63