SVG-фишинг маскируется под аудио: нажал — ввёл данные — передал пароль.

Злоумышленники заменяют аудиофайлы и документы поддельными формами входа.

Эксперты «Лаборатории Касперского» обнаружили масштабные фишинговые рассылки с вредоносными SVG-вложениями. По информации компании, такие атаки направлены как на обычных пользователей, так и на организации, и их цель — получить доступ к аккаунтам в сервисах Google и Microsoft. В марте 2025 года число подобных атак увеличилось почти в шесть раз по сравнению с февралем. Всего с начала года зафиксировано более 4000 писем с вредоносными SVG-файлами.

Формат SVG (Scalable Vector Graphics), основанный на XML, применяется для создания двумерной графики и поддерживает HTML и JavaScript. Благодаря этому он подходит для реализации интерактивных элементов — именно этим и пользуются фишеры, внедряя в файлы вредоносные скрипты, ведущие на поддельные сайты.

Механизм атаки выглядит так: пользователь получает письмо с вложением в формате SVG, которое по сути представляет собой HTML-страницу. При открытии файла в браузере отображается интерфейс с кнопкой «Прослушать аудиофайл». Нажав на неё, пользователь попадает на поддельную страницу, имитирующую интерфейс Google Voice. Вместо воспроизведения аудио открывается окно ввода логина и пароля — введённые данные сразу же отправляются злоумышленникам.

В другой версии атаки SVG-файл замаскирован под документ, требующий электронной подписи. Открытие такого файла приводит к автоматическому перенаправлению на фишинговый сайт, внешне идентичный странице входа Microsoft. Введённые данные также перехватываются.

По наблюдениям «Лаборатории Касперского», фишеры продолжают экспериментировать с различными форматами вложений. Сейчас атаки с использованием SVG довольно просты по структуре: вредоносный код либо интегрирован в файл, либо используется для переадресации. Однако специалисты предупреждают, что в будущем подобные методы могут стать частью более сложных и целенаправленных атак.