Svg

A Microsoft anunciou que o Outlook não exibirá mais imagens SVG inline para mitigar riscos de phishing e malware. A decisão vem em resposta ao aumento do uso malicioso de arquivos SVG, que têm sido utilizados para entregar malware e criar páginas de phishing. Em uma atualização no Microsoft 365 Message Center, a empresa informou que, ao invés de imagens, os usuários verão espaços em branco onde as imagens SVG estariam. No entanto, os arquivos SVG enviados como anexos clássicos continuarão a ser suportados e visualizáveis. A Microsoft destacou que menos de 0,1% das imagens no Outlook utilizam esse método, o que significa que o impacto nas comunicações diárias deve ser mínimo. Essa mudança faz parte de uma estratégia mais ampla da Microsoft para reduzir recursos que podem ser explorados por atacantes, incluindo a restrição de funções em Office e Windows que têm sido utilizadas em campanhas de phishing e malware nos últimos anos.

Recentemente, a Microsoft conseguiu bloquear uma campanha de phishing que utilizava código gerado por inteligência artificial (IA) para ocultar um payload malicioso dentro de um arquivo SVG disfarçado como PDF. Os atacantes enviaram e-mails de contas de pequenas empresas comprometidas, utilizando campos BCC para esconder os alvos reais. O arquivo SVG continha elementos ocultos que simulavam um painel de negócios, enquanto um script transformava palavras relacionadas a negócios em código, levando os usuários a uma página de login falsa após um redirecionamento para um CAPTCHA. A análise do arquivo pelo Microsoft Security Copilot revelou características típicas de código gerado por IA, como identificadores longos e comentários genéricos, o que indicou que o código era mais polido do que prático. Embora a campanha tenha sido limitada e facilmente bloqueada, ela destaca como os atacantes estão cada vez mais utilizando IA para criar iscas convincentes e payloads complexos. A Microsoft enfatiza a importância de ferramentas de IA na detecção e resposta a ameaças em larga escala, tanto para defensores quanto para atacantes.

Um novo ataque de phishing, identificado pela Microsoft, está direcionado a organizações baseadas nos Estados Unidos e utiliza modelos de linguagem avançados para ocultar suas intenções maliciosas. Detectado em 28 de agosto de 2025, o ataque se aproveita de contas de e-mail corporativas comprometidas para enviar mensagens que se disfarçam como notificações de compartilhamento de arquivos. Os atacantes utilizam arquivos SVG, que permitem a inclusão de JavaScript e conteúdo dinâmico, para criar iscas mais convincentes. Os e-mails são enviados com endereços de remetente e destinatário iguais, ocultando os verdadeiros alvos no campo BCC, o que dificulta a detecção inicial. O conteúdo do SVG é estruturado para parecer um painel de análise de negócios, enquanto a funcionalidade maliciosa é disfarçada por uma sequência de termos corporativos. A Microsoft alerta que, embora esta campanha tenha sido bloqueada, técnicas semelhantes estão sendo cada vez mais adotadas por cibercriminosos. Além disso, outras campanhas de phishing têm explorado temas relacionados à Administração da Seguridade Social dos EUA e à violação de direitos autorais, utilizando métodos inovadores para distribuir malware.

No final de agosto de 2025, uma onda de ataques de engenharia social altamente direcionados foi observada na América Latina, utilizando imagens SVG de grandes dimensões para entregar o malware AsyncRAT. Esses ataques, que se disfarçam como comunicações judiciais urgentes, marcam uma evolução nas táticas de phishing. O processo começa com um e-mail de spear-phishing que simula uma autoridade judicial, alertando sobre possíveis ações legais e incentivando a abertura de um arquivo SVG anexado, frequentemente superior a 10 MB. Esses arquivos SVG contêm JavaScript e diretivas XML embutidas, criando um portal interativo no navegador do usuário. Após uma série de telas de verificação falsas, a vítima é levada a baixar um arquivo ZIP protegido por senha, que, ao ser extraído, revela um dropper executável que utiliza o método de DLL sideloading para injetar o AsyncRAT no sistema. Essa técnica evita a detecção por ferramentas de segurança que normalmente monitoram apenas binários conhecidos. A campanha se destaca pela personalização assistida por IA, onde cada SVG é gerado de forma única, dificultando a análise estática. A ESET já havia identificado essa técnica em 2019, mas sua evolução foi recentemente adicionada ao framework MITRE ATT&CK. A campanha, que teve um pico de atividade em agosto, principalmente na Colômbia, ressalta a importância da vigilância e da educação em segurança cibernética.

Um novo relatório da VirusTotal, da Google, revela uma técnica inovadora utilizada por hackers para ocultar malwares em arquivos de imagem SVG (Scalable Vector Graphics). Embora esses arquivos sejam comumente considerados inofensivos, eles podem conter códigos maliciosos embutidos. A análise identificou uma campanha que utilizou mais de 500 imagens SVG para disseminar malwares, imitando agências governamentais e conseguindo evitar a detecção por antivírus tradicionais. A ameaça foi descoberta após a plataforma Code Insight, que utiliza inteligência artificial para identificar vírus, começar a escanear arquivos SVG. As imagens continham códigos JavaScript disfarçados como páginas HTML, levando os usuários a um site falso do judiciário da Colômbia. Ao interagir com a imagem, o usuário era induzido a baixar um arquivo zip protegido por senha, que, ao ser extraído, revelava um executável malicioso. Essa técnica de ocultação foi tão eficaz que 44 das 523 imagens analisadas passaram despercebidas pelos antivírus. A situação levou à decisão da Microsoft de desabilitar a renderização de SVGs em seu serviço de e-mail Outlook, destacando a gravidade da ameaça.

Pesquisadores de cibersegurança identificaram uma nova campanha de malware que utiliza arquivos SVG como parte de ataques de phishing, disfarçando-se como o sistema judicial colombiano. Os arquivos SVG são enviados por e-mail e contêm um código JavaScript embutido que decodifica e injeta uma página de phishing em HTML, simulando um portal da Fiscalía General de la Nación. Essa página finge realizar o download de documentos oficiais, enquanto, em segundo plano, baixa um arquivo ZIP não especificado. A análise do VirusTotal revelou 44 arquivos SVG únicos, todos não detectados por motores antivírus devido a técnicas de ofuscação e polimorfismo. Além disso, a campanha também está associada a um malware chamado Atomic macOS Stealer (AMOS), que visa usuários de macOS, especialmente aqueles que buscam versões piratas de software. AMOS é capaz de roubar uma ampla gama de dados, incluindo credenciais e carteiras de criptomoedas. A Apple implementou proteções para bloquear a instalação de arquivos .dmg não notarizados, mas os atacantes estão adaptando suas táticas para contornar essas defesas, utilizando comandos no Terminal para instalar o malware. Essa evolução nas técnicas de ataque destaca a necessidade de estratégias de defesa em profundidade.