Attackers increasingly weaponize SVG files with embedded JavaScript and Base64‑encoded payloads to deliver phishing pages and malware while evading traditional detection. Deep CDR™ Technology, one of the core technologies that powers MetaDefender Core™, neutralizes this class of attack by removing all active content (scripts, external references, event handlers, etc.) and delivering a clean, standards‑compliant image that preserves functionality while eliminating risk. Normal, trustworthy SVGs (Scalable Vector Graphics) do not need JavaScript, so it is removed by default.
Warum SVG
Das perfekte Vehikel für Phishing-Payloads
SVG ist ein XML-basiertes Vektorgrafikformat, keine einfache Bitmap.
Eine SVG-Datei kann enthalten:
- Skripte
- Ereignisbehandler
- Externe Referenzen
Diese Funktionen sind nützlich für interaktive Grafiken, aber Angreifer nutzen sie aus, um:
- Bösartigen Code ausführen
- Einschleusen bösartiger XML-Daten
- Externe Inhalte abrufen
- Gefälschte Anmeldeseiten rendern
Angreifer kombinieren SVGs auch mit HTML/JS-Schmuggel, indem sie Base64-Nutzdaten in scheinbar harmlose Bilder einbetten und sie zur Laufzeit dekodieren. Diese Technik wird nun formell als MITRE ATT&CK "SVG Smuggling" (T1027.017) verfolgt .
Das Wichtigste zum Mitnehmen
In normal enterprise content workflows (logos, icons, diagrams), SVGs don’t require JavaScript or active content. If you find <script>, event handlers, or remote references in an inbound SVG, treat them as risky.
Was wir in der freien Wildbahn zu sehen bekommen
E-Mail-Anhang mit Base64-verschlüsseltem Phishing
- Zustellung: Eine Routine-E-Mail enthält einen .svg-Anhang, den viele E-Mail-Gateways als Bild behandeln.
- Technique: Inside the SVG, an obfuscated <script> reconstructs a phishing page from a Base64 blob and loads it in the browser.
Drive mit Event-Handlern für die Umleitung
- Lieferung: Eine kompromittierte oder mit Tippfehlern versehene Website verwendet ein transparentes SVG-Overlay mit anklickbaren Bereichen.
- Die Technik: Ereignisattribute (onload, onclick) lösen Umleitungen mit Base64-Dekodierung aus.
Warum die Detektion hier Schwierigkeiten macht
Herkömmliche Ansätze wie Signaturen, Musterregeln und statische Codeprüfung versagen, wenn Angreifer sie nutzen:
- Obfuscate mit Base64, XOR, Junk-Text-Padding oder polymorphen Templates.
- Die Ausführung bis zur Laufzeit aufschieben (z.B. onload), was die statische Analyse unzuverlässig macht.
- Verstecken Sie die Logik hinter legitimen SVG-Funktionen wie Event-Handlern und externen Referenzen.
Interessante Tatsache
Laut Daten des HTTP-Archivs wird SVG von 92 % der 1000 wichtigsten Websites für Icons und Grafiken verwendet.
"Wenn es aktiv ist, ist es riskant"
Deep CDR™ Technology for SVG
Deep CDR™ Technology, one of the core technologies that powers MetaDefender Core, doesn’t try to guess what is malicious. It assumes any executable or active content in untrusted files is risky and removes or sanitizes it.
Für SVGs bedeutet dies:
- Remove JavaScript: Strips out any <script> elements and inline scripts to prevent code execution.
- CDATA entfernen: Eliminiert versteckten Code in CDATA-Abschnitten, der schädliche Logik einbetten könnte.
- Injektion entfernen: Blockiert eingeschleuste Inhalte, die bösartige Programme ausführen könnten.
- Bild verarbeiten: Rekursiv werden eingebettete Bilder bereinigt und externe Bilder entfernt.
- Normalisieren & Wiederherstellen: Erzeugt eine standardkonforme SVG mit nur sicheren visuellen Elementen.
- Optional Rasterisieren: Konvertiert SVG in PNG oder PDF für Workflows, die keine Vektorinteraktivität erfordern.
Dieser Ansatz steht im Einklang mit den Sicherheitsrichtlinien: SVGs sanitisieren oder in eine Sandbox packen (oder rastern), um die Ausführung von Code zu verhindern.
Top Use Cases with Deep CDR™ Technology
E-Mail-Gateways
Bereinigen Sie eingehende Anhänge und verknüpfte Dateien (URLs, die per Download aufgelöst werden) vor der Übermittlung. SVGs, die in saubere SVGs konvertiert wurden, verhindern, dass Credential Harvester gerendert und Downloader ausgelöst werden.
Plattformen für die Zusammenarbeit
Apply Deep CDR™ Technology to files shared through tools like Teams, Slack, or SharePoint. Sanitizing SVGs here ensures that no hidden login screens or malicious scripts can trick users during everyday collaboration.
Web-Upload-Portale
Erzwingen Sie die Bereinigung aller Dateien, die auf Ihre Websites, CMS oder Digital Asset Management-Systeme hochgeladen werden. Dies verhindert, dass Angreifer schädlichen Code in etwas verstecken, das wie ein einfaches Logo oder eine Grafik aussieht.
Dateiübertragung und MFT Managed File Transfer)
Integrate Deep CDR™ Technology into file transfer workflows so every file, especially those from partners or vendors, is safe to use before entering your network. This reduces supply chain risks from compromised assets.
Auswirkungen auf die Wirtschaft
Das Ignorieren der SVG-Sanitization kann zu:
- Diebstahl von Zugangsdaten: Gefälschte Anmeldeseiten sammeln die Anmeldedaten der Benutzer.
- Malware-Infektionen: Umleitungsketten liefern Ransomware oder Stealer.
- Verstöße gegen die Vorschriften: Verstöße, die sensible Daten betreffen, können Geldstrafen und Rufschädigung nach sich ziehen.
Best Practices zur Verhinderung von SVG-basierten Angriffen
- Standard-Einstellung: Kein JavaScript in SVG aus nicht vertrauenswürdigen Quellen.
- Sanitize or rasterize: Apply Deep CDR™ Technology to all inbound SVG files.
- Kombiniert mit CSP: Verwendung als Defense-in-Depth, nicht als primäre Kontrolle.
- Audit und Protokollierung: Verfolgen Sie jede Bereinigungsaktion für Compliance und Forensik.
Abschließende Überlegungen
SVG-based phishing is not theoretical, it’s happening now. Detection-based tools can’t keep up with evolving obfuscation techniques. Deep CDR™ Technology offers a deterministic, zero-trust approach, removing the risk before it reaches your users.
