Сентябрь 2025 | Обзор события | 7

Новые SVG-атаки обходят антивирусы: как шпионское ПО маскируется под изображения

В сентябре было выявлено 44 ранее неизвестных вредоносных файла формата SVG, содержащих активный код для обхода антивирусных систем. Эти файлы имитировали уведомления от судебной системы Колумбии и при открытии запускали установку шпионского ПО через ZIP-архив с поддельным приложением и вредоносным .dll-файлом.

Содержание

Обзор

Механизм атаки

Особенности реализации

Развитие угрозы

Атаки через SVG: как графика стала оружием киберпреступности
- Скрытые механизмы и мотивы злоумышленников
- Системные последствия и долгосрочные риски
- Важность для российских организаций
- Рекомендации по снижению рисков

ИСХОДНЫЙ НАРРАТИВ

По данным VirusTotal, в сентябре было выявлено 44 ранее неизвестных вредоносных файла формата SVG, использовавшихся для распространения шпионского ПО. Эти файлы, созданные с применением технологии Scalable Vector Graphics, содержали активный код, позволяющий обойти стандартные антивирусные системы.

Механизм атаки

Файлы SVG, как правило, применяются для создания масштабируемых графических изображений. Однако в данном случае злоумышленники использовали их как вектор доставки вредоносного ПО. В ходе атаки SVG-файл имитировал уведомление от судебной системы Колумбии, включая визуальные элементы вроде фейковой прогресс-бара и кнопки загрузки.

После открытия файла пользователь видел в браузере визуально правдоподобную веб-страницу. При нажатии на кнопку загрузки распаковывался ZIP-архив, содержащий подписанное приложение Comodo Dragon и вредоносный .dll-файл. Выполнение этого файла приводило к установке дополнительного вредоносного ПО.

Особенности реализации

Атака основывалась на поддержке SVG встроенными HTML- и JavaScript-скриптами. Это позволяет использовать такие файлы как полноценные веб-страницы, включая полноценные фишинговые комплекты. По данным VirusTotal, 523 SVG-файла были связаны с данной кампанией. Из них 44 оставались незамеченными любыми антивирусными движками на момент их обнаружения.

Вредоносный код включал методы обфускации и большое количество «пустого» кода, что усложняло статический анализ и позволяло обойти стандартные системы обнаружения.

Развитие угрозы

Схожие атаки были зафиксированы ранее. В этом году IBM X-Force сообщила о фишинговых кампаниях, направленных на банки и страховые компании. Cloudflare также отметила рост числа SVG-файлов, используемых для перенаправления или сбора учетных данных. Компании вроде Sophos обновили правила обнаружения после выявления SVG-нагрузок, способных обойти фильтры.

В ответ на угрозу Microsoft объявила о прекращении поддержки встроенной отрисовки SVG в веб-версии Outlook и новой версии Outlook для Windows. Теперь такие файлы не отображаются, а вместо них пользователь видит пустое пространство. Это ограничивает возможность внедрения активного контента в тело сообщения.

Угрозы, связанные с SVG-файлами, демонстрируют эволюцию методов кибератак. Использование графических форматов в качестве вектора доставки вредоносного ПО требует пересмотра стандартных подходов к безопасности. Для организаций важно обновлять политики контроля доступа и усиливать обучение сотрудников.

АНАЛИТИЧЕСКИЙ РАЗБОР

Атаки через SVG: как графика стала оружием киберпреступности

Скрытые механизмы и мотивы злоумышленников

Современные кибератаки всё чаще используют неочевидные векторы проникновения — в данном случае, графический формат SVG. Злоумышленники воспользовались тем, что SVG-файлы поддерживают встроенные скрипты, что позволяет им имитировать полноценные веб-страницы. Такой подход позволяет обойти стандартные фильтры безопасности, поскольку файлы графики не вызывают подозрений у пользователей и антивирусных систем.

Во втором квартале 2025 года злоумышленники активно использовали SVG-файлы для распространения вредоносного ПО, включая такие инструменты, как XWorm, Remcos RAT и Lumma Stealer. Атаки происходили через поддельные документы и письма, имитирующие счета, прикрепленные в формате SVG. При открытии такие файлы запускали обратные shell-соединения и собирали данные. Использование доверенного формата позволило атакующим избежать обнаружения стандартными средствами безопасности.

Ключевая идея: Новые методы кибератак основаны на манипуляции доверием к привычным форматам и системам.

Системные последствия и долгосрочные риски

Рост атак через SVG-файлы указывает на смещение фокуса злоумышленников с традиционных методов (например, вложений в email) на более «незаметные» векторы. Это создает вызовы реализации для IT-департаментов, поскольку стандартные решения могут не справляться с обфусцированным кодом и маскировкой под легитимные элементы.

В ответ крупные технологические компании, такие как Microsoft, уже предпринимают меры: ограничивают отображение SVG в почтовых клиентах. Это снижает риск автоматического выполнения вредоносного кода, но не устраняет проблему полностью.

Ключевая идея: Повышение уровня защиты требует не только технических обновлений, но и пересмотра подходов к пользовательскому опыту и обучению сотрудников.

Важность для российских организаций

Для российских компаний, сталкивающихся с ростом киберугроз в условиях санкционного давления, подобные атаки представляют повышенный риск. Злоумышленники могут использовать такие методы для компрометации корпоративных систем, включая государственные структуры. Учитывая, что SVG-файлы легко распространяются через email и веб-сайты, важно включить их в перечень контролируемых элементов.

Согласно данным аналитиков, в январе—августе 2025 года в российском сегменте интернета зафиксировано 13 млрд утекших строк персональных данных, что в 3,7 раза превышает показатель аналогичного периода 2024 года. Фишинговые атаки стали технически более сложными, а количество выявленных фишинговых сайтов почти удвоилось. Это связано с ростом организованности киберпреступности, где синдикаты работают по бизнес-моделям с KPI и CRM-системами.

Ключевая идея: Для российских организаций важно учитывать эволюцию методов кибератак и адаптировать внутренние процессы безопасности под новые векторы угроз.

Коротко о главном

Атаки использовали SVG-файлы с встроенными HTML- и JavaScript-скриптами

Это позволяло отображать в браузере визуально правдоподобные веб-страницы, включая прогресс-бары и кнопки загрузки, которые запускали вредоносное ПО.

В общей сложности было связано 523 SVG-файла с одной кампанией

Из них 44 были ранее неизвестны антивирусным системам, а остальные уже фиксировались в ходе предыдущих атак. Все файлы содержали методы обфускации и «пустой» код для усложнения анализа.

После открытия файла пользователь получал ZIP-архив с вредоносным .dll-файлом

Выполнение этого файла приводило к установке дополнительного вредоносного ПО, включая подписанное приложение Comodo Dragon.

Microsoft прекратила поддержку встроенной отрисовки SVG в Outlook

В новой версии почтового клиента такие файлы не отображаются, что ограничивает возможность внедрения активного контента в письмах.

Ранее IBM X-Force и Cloudflare фиксировали схожие фишинговые атаки

Целью были банки и страховые компании, а SVG-файлы использовались для перенаправления и сбора учетных данных. Sophos обновила правила обнаружения после выявления подобных угроз.

Инфографика событий

Открыть инфографику на весь экран

Участники и связи

Отрасли: ИТ и программное обеспечение; Кибербезопасность; Разработка ПО

Темы: Методы распространения вредоносного программного обеспечения; Обход блокировки антивирусными системами; Фишинговые атаки;

Оценка значимости: 7 из 10

Обнаружение новых вредоносных SVG-файлов представляет угрозу для пользователей и корпоративных систем в России, так как кибератаки затрагивают ключевые сферы — информационную безопасность, финансовую инфраструктуру и повседневную работу с электронной почтой. Атаки, использующие новую технику обхода антивирусных систем, могут распространяться длительное время, особенно если пользователи не обучены распознавать такие угрозы. Масштаб инцидента выходит за пределы отдельных регионов, затрагивая широкую аудиторию, а глубина последствий включает риски утечки данных и повреждения репутации организаций.