Cyberkriminelle haben eine neue Methode zur Verbreitung von Malware entwickelt, indem sie skalierbare Vektorgrafiken (SVG-Dateien) als Träger nutzen. Diese Technik hat sich durch das Aufkommen des Tools AutoSmuggle erheblich weiterentwickelt, das seit seiner Einführung im Mai 2022 das Einbetten bösartiger Dateien in HTML- oder SVG-Inhalte erleichtert, um Sicherheitsmaßnahmen zu umgehen.

Die Anfänge der Malware-Übertragung über SVG Die Verwendung von SVG-Dateien zur Malware-Verteilung ist nicht neu und reicht bis ins Jahr 2015 zurück, als Ransomware eines der ersten Schadprogramme war, das über diesen Vektor geliefert wurde. Eine bedeutende Weiterentwicklung fand 2022 statt, als Malware wie QakBot über in SVGs eingebettete .zip-Archive verbreitet wurde, was einen Wandel von externen Downloads zu Techniken des HTML-Smugglings darstellte.

Die Rolle von AutoSmuggle in aktuellen Malware-Kampagnen AutoSmuggle markierte einen Wendepunkt in der Malware-Verbreitung, indem es ausführbare Dateien oder Archive in SVG/HTML-Dateien einbettete, die dann entschlüsselt und bei Öffnung durch das Opfer ausgeführt wurden. Dieses Vorgehen ermöglicht es, sich der Erkennung durch Secure Email Gateways (SEGs) zu entziehen. Insbesondere seit Dezember 2023 und Januar 2024 wurden Kampagnen beobachtet, die den XWorm RAT und den Agent Tesla Keylogger über diesen Weg verbreiteten.

Liefermethoden von Malware über SVG Es gibt zwei primäre Wege, wie SVG-Dateien Malware ausliefern können: entweder durch direkt eingebettete URLs, die den Download einer schädlichen Last auslösen, oder durch in HTML-Stil eingebettete Objekte innerhalb der SVG-Dateien selbst, die keinen Bedarf an externen Ressourcen haben.

Analyse aktueller Kampagnen In den Kampagnen, die den Agent Tesla Keylogger und XWorm RAT lieferten, zeigten sich Unterschiede im Ansatz. Während Agent Tesla über eine Serie von Downloads initiiert wurde, die in der Ausführung des Keyloggers mündeten, unterschied sich die XWorm RAT-Kampagne durch den Einsatz von PDFs, eingebetteten Links und direkten SVG-Anhängen, die letztlich zur Lieferung von XWorm RAT führten.

Abweichungen von AutoSmuggle in aktuellen Kampagnen Die in diesen Kampagnen verwendeten SVG-Dateien wiesen geringfügige Modifikationen im Vergleich zu den standardmäßig von AutoSmuggle generierten Dateien auf. Dies zeigt, dass Angreifer ihre Methoden kontinuierlich anpassen, um Sicherheitsmaßnahmen zu umgehen.

Die fortschreitende Verwendung von SVG-Dateien zur Malware-Verteilung, insbesondere mit Werkzeugen wie AutoSmuggle, unterstreicht die Notwendigkeit, Verständnis für diese Techniken zu entwickeln, um wirksamere Gegenmaßnahmen gegen solch ausgeklügelte Cyberbedrohungen zu entwickeln.