ASEC(AhnLab SEcurity intelligence Center)は最近、SVG(Scalable Vector Graphics)フォーマットのマルウェアが多数配布されている状況を確認した。SVG ファイルとは、拡張可能なベクターグラフィックを表す XML ベースのファイル形式である。主にアイコン、チャート、グラフなどに使用されるものであり、コード内に CSS および JS を使用できるという特徴がある。攻撃者はこのような特徴を利用し、様々なタイプの SVG マルウェアを配布している。
SVG マルウェアは、フィッシングメール内の添付ファイルで配布されており、メール本文にはそのファイルを実行する方法を記載している。一般的な方法で SVG ファイルを実行する場合、Web ブラウザによってファイルが開かれる。
[図1] フィッシングメール
最近配布されている SVG マルウェアは、大きく2つのタイプに分けられる。まず1つ目のタイプはダウンローダーで、PDF ファイルのダウンロードを誘導する。2つ目のタイプはフィッシングで、Excel ドキュメントを確認するためにユーザーのアカウント情報を入力するよう誘導する。拡散中の SVG ファイルの実行画面は以下の通りである。
[図2] SVG マルウェアのタイプ
[図3] ダウンローダータイプ
フィッシングタイプの場合、イメージコンテンツ要素の間に難読化された JS コードが存在することを確認でき、入力されたアカウント情報を Base64 でエンコードしたあと、攻撃者サーバーに転送する機能を実行する。
このように、SVG マルウェアは不正な機能を遂行するコードがイメージコンテンツ要素の間に隠されているため、一般的なユーザーが不正なファイルであることを認知することは難しい場合がある。
[図4] フィッシングタイプ
最近、様々なフォーマットを利用してマルウェアが作成されており、SVG フォーマットによるマルウェアの配布が増加している。ユーザーは、出どころが不明なメールに添付されたファイルを閲覧する行為を控えるべきであり、特に SVG フォーマットのファイルが添付されている場合、特に注意が必要である。
IOC 関連情報
MD5
1cb57bf424b43b0fa31578e943abc294
62fe867077a03214208fa5c9f9f1c743
c3bd20a26cad5cd8d5ff8174f70966f0
d3acfbea0cfc732e819301c490b3bb89
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム 「AhnLab TIP」 サブスクリプションサービスを通して確認できる。
Categories: マルウェア, フィッシング/スキャム