Trong bối cảnh an ninh mạng phát triển nhanh chóng, các tác nhân đe dọa đang ngày càng sử dụng các tệp Scalable Vector Graphics (SVG) để vượt qua các biện pháp phòng thủ truyền thống. Hình thức tấn công SVG độc hại này tận dụng đặc điểm kỹ thuật của định dạng nhằm đạt được mục tiêu xâm nhập.

SVG: Định Dạng và Khả Năng Khai Thác

Không giống như các định dạng raster như JPEG hoặc PNG, vốn lưu trữ dữ liệu dựa trên pixel, SVG là các tài liệu có cấu trúc XML. Chúng định nghĩa các hình dạng vector, đường dẫn và văn bản, cho phép khả năng mở rộng liền mạch mà không làm giảm chất lượng hình ảnh.

Tính linh hoạt cố hữu này của SVG lại cho phép nhúng mã JavaScript có thể thực thi. Mã này tự động kích hoạt khi tệp được hiển thị trong trình duyệt web, đây là một hành vi mặc định trên nhiều hệ thống Windows.

Theo báo cáo của Seqrite, kẻ tấn công khai thác điểm yếu này bằng cách phân phối các tệp SVG chứa mã độc. Chúng thường sử dụng các phương thức như email lừa đảo spear-phishing hoặc các nền tảng lưu trữ đám mây phổ biến.

Các nền tảng đám mây thường bị lạm dụng bao gồm Dropbox, Google Drive hoặc OneDrive. Các tệp này thường dễ dàng vượt qua các cổng bảo mật email do vẻ ngoài vô hại của chúng, khiến chúng trở thành một mối đe dọa tiềm ẩn.

Chuỗi Tấn Công Phishing và SVG Độc Hại

Khởi Đầu Tấn Công qua Email

Chuỗi tấn công điển hình bắt đầu với một tệp đính kèm email lừa đảo. Tệp này thường được ngụy trang dưới các tên hấp dẫn như “Upcoming Meeting.svg” hoặc “Your-to-do-List.svg”. Những email này đi kèm với các dòng tiêu đề mang tính thuyết phục, ví dụ: “Reminder for your Scheduled Event 7212025.msg”.

Khi tệp SVG được mở, nó sẽ tải trong trình duyệt. Tại thời điểm này, các script được nhúng bên trong tệp sẽ tự động thực thi. Các script này có chức năng giải mã các payload bị che giấu.

Chuyển Hướng và Đánh Cắp Thông Tin Đăng Nhập

Sau khi giải mã, các script sẽ chuyển hướng nạn nhân đến các tên miền lừa đảo (phishing) và máy chủ điều khiển (C2). Hậu quả tiềm ẩn của hành vi này là đánh cắp thông tin đăng nhập hoặc triển khai mã độc vào hệ thống nạn nhân.

Sự tinh vi về mặt kỹ thuật của các cuộc tấn công SVG độc hại nằm ở khả năng che giấu logic độc hại bên trong khung XML của SVG. Kẻ tấn công thường nhúng thẻ <script> được bao bọc trong các phần CDATA.

Mục đích của việc này là để ẩn các chuỗi được mã hóa hex và các khóa XOR, khiến việc phát hiện trở nên khó khăn hơn đối với các công cụ bảo mật truyền thống.

Một ví dụ về payload đã được giải mã có thể sử dụng cấu trúc như sau để buộc trình duyệt chuyển hướng:

window.location = 'javascript:' + decoded_string;

Lệnh này sẽ chuyển hướng nạn nhân đến các trang web độc hại. Ví dụ điển hình là hxxps://hju[.]yxfbynit[.]es/koRfAEHVFeQZ!bM9. Các đích đến này thường có cổng Cloudflare CAPTCHA nhằm lọc các trình quét tự động, tăng cường khả năng che giấu.

Sau bước CAPTCHA, nạn nhân sẽ tiếp cận các trang lừa đảo (phishing) được thiết kế cực kỳ giống thật. Chúng mô phỏng chính xác các dịch vụ phổ biến như Microsoft 365 hoặc Google Workspace để lừa người dùng.

Tại các trang giả mạo này, kẻ tấn công thu thập thông tin đăng nhập theo thời gian thực. Chúng thậm chí còn xác thực thông tin này với các API hợp pháp để đảm bảo tính xác thực trước khi thực hiện hành vi đánh cắp dữ liệu nhạy cảm.

Triển Khai Mã Độc Thứ Cấp

Trong các biến thể nâng cao của tấn công SVG độc hại, trang chuyển hướng có thể hoạt động như một dropper cho mã độc thứ cấp. Kẻ tấn công sẽ khai thác các lỗ hổng trình duyệt hoặc các kỹ thuật xã hội tinh vi.

Mục tiêu cuối cùng là cài đặt các mối đe dọa dai dẳng vào hệ thống của nạn nhân. Các mối đe dọa này có thể bao gồm keylogger, phần mềm gián điệp, hoặc thậm chí là mã độc tống tiền (ransomware).

Hiệu quả của phương pháp tấn công này bắt nguồn từ việc các tệp SVG có thể vượt qua nhiều giải pháp chống virus hiện có. Phần lớn các giải pháp này ưu tiên quét và kiểm tra các tệp thực thi nhị phân hơn là đồ họa vector.

Ngoài ra, trình duyệt tự động xử lý các tệp SVG trên hệ điều hành Windows khi không có trình xem chuyên dụng nào được cấu hình, tạo điều kiện thuận lợi cho việc thực thi mã độc.

Các Chỉ Số Thỏa Hiệp (IoC)

Để nhận diện và phòng chống các cuộc tấn công phishing liên quan đến SVG, việc theo dõi các chỉ số thỏa hiệp (IoC) là rất quan trọng. Dưới đây là một IoC đã được xác định:

• URL Phishing/C2: hxxps://hju[.]yxfbynit[.]es/koRfAEHVFeQZ!bM9

Biện Pháp Giảm Thiểu và Bảo Vệ Hệ Thống

Phòng Thủ Đa Lớp

Để giảm thiểu các rủi ro bảo mật từ các cuộc tấn công SVG độc hại, các tổ chức cần áp dụng chiến lược phòng thủ đa lớp. Điều này bao gồm việc tích hợp các công cụ kiểm tra nội dung sâu có khả năng phân tích cú pháp XML và JavaScript bên trong các tệp SVG.

Vô hiệu hóa tính năng tự động hiển thị trình duyệt cho các tệp không đáng tin cậy là một biện pháp phòng ngừa quan trọng. Việc này có thể thực hiện thông qua chính sách nhóm (Group Policy) hoặc cấu hình điểm cuối (endpoint configuration) để ngăn chặn việc thực thi script ngoài ý muốn.

Đào Tạo và Nâng Cao Nhận Thức

Các chương trình đào tạo nhân viên cần được triển khai thường xuyên, nhấn mạnh sự cảnh giác cao độ. Người dùng cần được hướng dẫn cách nhận diện và xử lý các tệp đính kèm không quen thuộc.

Cần làm nổi bật các dấu hiệu cảnh báo như tên miền người gửi không khớp với tổ chức hoặc tên tệp quá chung chung, không rõ ràng. Nâng cao nhận thức là yếu tố then chốt để củng cố bảo mật thông tin từ cấp độ người dùng.

Giám Sát và Tích Hợp Threat Intelligence

Giám sát mạng liên tục để phát hiện các chuyển hướng bất thường, hành vi script lạ hoặc lưu lượng truy cập đến các máy chủ C2 lừa đảo đã biết. Điều này củng cố đáng kể khả năng phục hồi của hệ thống trước các mối đe dọa mới nổi.

Khi tội phạm mạng liên tục tinh chỉnh các kỹ thuật tấn công, việc tích hợp nguồn cấp dữ liệu threat intelligence và phân tích hành vi vào các trung tâm điều hành an ninh (SOC) trở nên thiết yếu. Điều này cho phép phát hiện sớm và phản ứng nhanh chóng với các mối đe dọa.

Bằng cách coi SVG không chỉ là hình ảnh mà là một vector thực thi mã tiềm năng, các doanh nghiệp có thể chủ động đối phó với bối cảnh mối đe dọa đang phát triển này. Điều này giúp giảm đáng kể khả năng xảy ra các vụ xâm nhập thành công và bảo vệ tài sản số.