det0510-detection-strategy-for-svg-smuggling-with-script-execution-and-delivery-

# DET0510 — Detection Strategy for SVG Smuggling with Script Execution and Delivery Behavior ## Descrição SVG Smuggling é uma técnica de entrega de payload em que adversários incorporam conteúdo malicioso (scripts JavaScript, arquivos executáveis codificados em Base64) dentro de arquivos SVG (Scalable Vector Graphics), que são tratados como imagens mas podem conter código JavaScript executável em browsers. Quando um usuário abre o arquivo SVG, o script embutido pode executar automaticamente, baixar payloads adicionais ou realizar ações maliciosas. Essa técnica é eficaz para contornar filtros de e-mail que bloqueiam extensões executáveis mas permitem imagens SVG. A técnica está relacionada a [[t1566-phishing|T1566 — Phishing]] e [[t1204-user-execution|T1204]] no MITRE ATT&CK. Campanhas de phishing modernas frequentemente utilizam arquivos SVG entregues por e-mail ou mensagens instantâneas para distribuir malware como [[s0650-qakbot|QakBot]], [[darkgaté|DarkGaté]] e [[s1087-asyncrat|AsyncRAT]]. O arquivo SVG contém um link ou download automático de um arquivo executável ou script, ativado quando o usuário abre o SVG no browser. Essa técnica ganhou popularidade em 2023-2025 como método para contornar filtros de e-mail que não analisam conteúdo de arquivos SVG. A detecção foca em: análise estática de arquivos SVG para presença de tags `<script>`, elementos `<a href>` com download automático, e dados Base64 incorporados; monitoramento do processo de browser para downloads desencadeados pela abertura de arquivos SVG; e análise do comportamento subsequente (execução de arquivo baixado, conexão de rede de saída). ## Indicadores de Detecção - Arquivo SVG recebido por e-mail contendo tags `<script>` ou elementos JavaScript embutidos - Browser iniciando download automático de arquivo executável (.exe, .zip, .js, .lnk) após abertura de SVG - Arquivo SVG com conteúdo Base64 de alta entropia que, decodificado, revela payload executável - Processo de browser criando processo filho imediatamente após abertura de arquivo SVG - Download de arquivo para diretório temporário desencadeado por SVG acessado em cliente de e-mail web - SVG com elemento `<a href="blob:...">` com atributo `download` para forçar download de arquivo arbitrário - Script JavaScript em SVG realizando `fetch()` ou `XMLHttpRequest` para URL externa ao abrir arquivo ## Técnicas Relacionadas - [[t1566-phishing|T1566 — Phishing]] - [[T1566.001-phishing-spearphishing-attachment|T1566.001 — Spearphishing Attachment]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] ## Analytics Relacionadas - [[an1407-analytic-1407|AN1407 — Analytic 1407]] - [[an1408-analytic-1408|AN1408 — Analytic 1408]] - [[an1409-analytic-1409|AN1409 — Analytic 1409]] --- *Fonte: [MITRE ATT&CK — DET0510](https://attack.mitre.org/detectionstrategies/DET0510)*