Il panorama della sicurezza informatica continua a evolversi, spesso purtroppo nella direzione sbagliata, e l’ultima minaccia evidenziata in questi giorni dimostra ancora una volta quanto possa essere sottile il confine tra un’esperienza utente apparentemente normale e un attacco malevolo ben congegnato. Stavolta nel mirino ci sono file immagine SVG manipolati e campagne di phishing capaci di prendere il controllo del browser (sia su dispositivi mobili che desktop) senza che l’utente ne sia consapevole.
Una tecnica che, oltre a sfruttare strumenti del tutto legittimi, riesce a bypassare numerosi sistemi di protezione tradizionali, rendendosi particolarmente efficace e difficile da individuare; ecco cosa c’è da sapere.
Come funziona il nuovo attacco che sfrutta le immagini SVG come cavallo di Troia
L’attacco parte da una semplice e-mail apparentemente innocua, contenente un file SVG dannoso, allegato o linkato tramite un’immagine esterna; il file viene trattato dal sistema come una normale immagine vettoriale, ma al suo interno contiene elementi JavaScript capaci di agire nel momento stesso in cui l’immagine viene visualizzata.
A differenza di altri attacchi più visibili o invasivi, in questo caso non viene richiesto alcun clic né l’apertura di allegati eseguibili, è sufficiente visualizzare l’immagine nel browser, ad esempio per consultare la preview di un allegato. Il codice JavaScript incluso nel file SVG si attiva in background e può forzare il reindirizzamento del browser verso un sito web pericoloso scelto dagli aggressori; da quel momento in poi, l’utente può diventare inconsapevolmente vittima di attacchi come:
- furto di credenziali tramite pagine di phishing perfettamente mascherate
- keylogger, ovvero sistemi che registrano ogni tasto digitato, comprese password e PIN
- troyan e spyware che possono compromettere ulteriormente il dispositivo
Secondo i ricercatori di sicurezza che hanno individuato la minaccia, la tecnica è già stata impiegata in campagne attive e dimostra come gli attaccanti stiano abbandonando i classici allegati eseguibili in favore di tecniche più elusive, che sfruttano componenti legittimi del web come HTML e SVG per introdurre codice dannoso in modo silenzioso.
L’esecuzione dello script, che avviene senza scaricare nulla e senza azioni attive dell’utente, sfrutta funzionalità native del browser che vengono così dirottate per finalità malevole; a peggiorare il quadro c’è l’utilizzo di indirizzi e-mail contraffatti o impersonati, che simulano entità fidate (come banche, corrieri, servizi cloud o aziende conosciute) per convincere la vittima ad aprire l’immagine.
In alcuni casi i file SVG non vengono nemmeno allegati direttamente, ma linkati tramite un’immagine esterna apparentemente legittima; il risultato finale è lo stesso, al momento della visualizzazione il browser viene reindirizzato a un sito malevolo, il tutto senza che l’utente si accorga di nulla.
Uno degli aspetti più critici di questa tecnica è la sua capacità di eludere le difese basate sul comportamento o sulle firme digitali, non ci sono allegati eseguibili, macro o download manuali, l’intero attacco avviene nella logica del browser sfruttando il rendering di un’immagine SVG per eseguire codice attivo, ed è proprio questo a renderla tanto efficace quanto pericolosa.
Inoltre, le e-mail utilizzate in queste campagne sfruttano domini con autenticazioni deboli, il che consente agli aggressori di superare facilmente anche i filtri antispam più comuni e di apparire credibili agli occhi dell’utente medio.
Nel momento in cui la minaccia diventa così silenziosa e furtiva, l’unica vera difesa è l’attenzione dell’utente, ecco alcuni consigli pratici da tenere a mente:
- non aprire mai file SVG ricevuti da mittenti sospetti, anche se sembrano immagini innocue
- controllare sempre l’indirizzo e-mail del mittente, anche se il nome visualizzato è familiare
- diffidare da email con toni allarmanti o eccessivamente insistenti, soprattutto se invitano a visualizzare un’immagine urgente
- verificare i link passando il mouse sopra l’immagine o il pulsante, senza cliccare
- mantenere aggiornati browser e sistema operativo per beneficiare delle ultime patch di sicurezza
La pericolosità di questi attacchi risiede proprio nella loro capacità di fondersi con la normalità dell’esperienza utente, ricevere una mail con un’immagine da visualizzare è un’operazione quotidiana, ma oggi può nascondere una catena di attacco completamente invisibile; il reindirizzamento del browser, senza interazione dell’utente, rappresenta un ulteriore passo avanti nell’evoluzione delle minacce digitali, che sempre più spesso puntano sulla manipolazione del contesto e sulla fiducia mal riposta.
Gli attacchi che sfruttano file SVG dimostrano come la semplicità dell’interfaccia possa mascherare una minaccia invisibile, la regola, oggi più che mai, è diffidare di ciò che sembra troppo semplice per essere vero, soprattutto in una e-mail.
