SVG Phishing

Cyberkriminelle nutzen SVG-Dateien für raffinierte Phishing-Angriffe

, Sophos | Autor: Herbert Wieler

Cyberkriminelle nutzen SVG-Dateien für raffinierte Phishing-Angriffe

Malware und Phishing-Attacken, die über das beliebte SVG-Grafikformat verbreitet werden, haben laut den Sicherheitsexperten von Sophos X-Ops seit Januar 2025 stark zugenommen.

Ein aktueller Bericht von Sophos X-Ops zeigt, dass Cyberkriminelle verstärkt SVG-Dateien nutzen, um Phishing- und Malware-Angriffe durchzuführen. Sie setzen das weit verbreitete Grafikformat gezielt ein, um Schutzmechanismen gegen Spam und Phishing zu umgehen.

Bereits seit 2024 beobachten die Security-Experten die missbräuchliche Nutzung des SVG-Formats. Das skalierbare Vektorgrafikformat (Scalable Vector Graphics) ist ein vom World Wide Web Consortium (W3C) empfohlener Standard für zweidimensionale Vektorgrafiken und wird seit 2001 verwendet. Da alle gängigen Browser SVG unterstützen und mehr als die Hälfte aller Webseiten weltweit SVG-Grafiken nutzen, erscheint dieses Format für viele Anwender als harmlos.

Genau diese Vorteile machen sich Cyberkriminelle zunutze. Zum einen wirken SVG-Grafiken in Phishing-E-Mails vertrauenswürdig, zum anderen enthalten sie nicht nur Bildinformationen, sondern auch XML-Code. Dadurch können Angreifer schadhaften Code unauffällig einbetten und übertragen. Nach dem Öffnen der Datei wird der bösartige Code im Hintergrund ausgeführt, oft ohne dass der Nutzer es bemerkt.

"Wir wissen um die Gefahr durch infizierte SVG-Dateien und haben unsere Schutzmechanismen entsprechend angepasst. Das Heimtückische an dieser Methode ist, dass der Nutzer keine sichtbaren Hinweise darauf erhält, dass es sich um einen Phishing-Angriff handelt. Sobald die Malware im XML-Code eingebettet ist, geschieht alles unbemerkt. Daher sind fortschrittliche Erkennungstechnologien, insbesondere KI-gestützte Systeme, notwendig, um verdächtige Aktivitäten in Netzwerken und auf Arbeitsgeräten zu identifizieren und zu blockieren", erklärt Michael Veit, Cybersecurity-Experte bei Sophos.

Laut Sophos X-Ops werden diese Angriffe zunehmend raffinierter. Cyberkriminelle optimieren ihre Methoden, um Phishing-Versuche noch überzeugender zu gestalten. Neuere Angriffe beinhalten nun auch gezielt lokalisierte Phishing-Webseiten, die in der jeweiligen Landessprache der Opfer präsentiert werden.