Em 2 de junho de 2026, Xavier Mertens, analista do SANS Internet Storm Center, publicou uma análise sobre uma onda de phishing que havia chegado à sua caixa de entrada por vários dias consecutivos. O anexo de cada mensagem era um arquivo SVG, um gráfico vetorial escalável. Cada e-mail passou pelas verificações de SPF, DKIM e DMARC sem nenhum problema. O anexo abriu no navegador sem nenhum aviso de segurança. O código malicioso foi executado no momento em que foi aberto.
Essa sequência é o problema central. Os e-mails estavam corretamente autenticados. O remetente foi verificado. O DMARC não tinha nada a rejeitar. O código malicioso estava dentro da imagem.
O Que São Arquivos SVG e Por Que Se Tornam Armas
SVG é um formato de imagem baseado em XML compatível nativamente com todos os navegadores modernos e sistemas operacionais. Ao contrário de formatos raster como PNG ou JPEG, os arquivos SVG descrevem gráficos usando marcação, o que significa que podem conter JavaScript incorporado de forma legítima.
Desenvolvedores web usam JavaScript dentro de arquivos SVG para criar animações interativas, ícones responsivos e visualizações de dados. O formato é amplamente confiável por navegadores, sistemas operacionais e clientes de e-mail precisamente porque a grande maioria dos arquivos SVG no mundo é exatamente o que parece: imagens.
Os atacantes reconheceram que essa confiança poderia ser explorada. Um arquivo SVG contendo JavaScript incorporado é aberto pelo navegador no momento em que o usuário dá um duplo clique. Sem software especial, sem permissões elevadas, sem caixa de diálogo de aviso. O script é executado imediatamente e redireciona o navegador para uma página de coleta de credenciais adaptada especificamente ao endereço de e-mail do destinatário.
A Escala do Problema em 2026
Os números são significativos. Os arquivos SVG maliciosos aumentaram cinquenta vezes em 2025 em comparação com 2024. A pesquisa da KnowBe4 documentou um aumento de 245 por cento nos arquivos SVG usados para ofuscar cargas maliciosas de phishing no mesmo período. Os arquivos SVG agora ocupam o terceiro lugar entre os tipos de anexo de e-mail malicioso mais comuns globalmente, atrás apenas de PDFs e arquivos HTML.
Em uma única campanha de phishing baseada em SVG rastreada em fevereiro de 2026, a Microsoft registrou a entrega de 1,2 milhao de mensagens para mais de 53.000 organizacoes em 23 paises. Essa unica campanha alcancou uma fracao significativa da infraestrutura global de e-mail corporativo.
A escala e possibilitada pela automacao. Os atacantes geram variantes SVG unicas para cada e-mail: o nome do arquivo muda, o assunto muda e a carga codificada muda a cada mensagem. Esse comportamento polimórfico torna a detecção baseada em hash ineficaz. Cada mensagem parece diferente para as ferramentas de segurança, embora a estrutura subjacente do ataque seja idêntica.
Por Que os Gateways de E-mail Não Detectam
As campanhas atuais de phishing SVG exploram várias camadas de evasão simultaneamente.
A maioria dos gateways de segurança de e-mail trata arquivos SVG como imagens. As políticas de verificação de anexos que bloqueiam executáveis, scripts e arquivos compactados geralmente ignoram os arquivos de imagem. As equipes de segurança ajustaram essas políticas com base em padrões históricos de ameaças, e até 2024, arquivos SVG raramente apareciam em campanhas de phishing em volumes significativos.
A carga maliciosa dentro do SVG é ofuscada. A campanha de junho de 2026 documentada pelo SANS usou criptografia XOR na carga JavaScript combinada com uma declaração de tipo MIME ECMAScript obsoleta que algumas ferramentas de verificação não inspecionam mais. Nenhuma técnica de evasão é nova isoladamente. Combinadas entre si e com o confiável formato de imagem, elas criam uma lacuna de detecção que a maioria das configurações de gateway atuais não fecha.
O destino do phishing geralmente é hospedado em um domínio recentemente registrado com histórico limitado de abusos. A filtragem de URL baseada em reputação não tem nada a sinalizar porque o domínio não apareceu nos feeds de ameaças tempo suficiente para ser listado.
O Paradoxo da Autenticação
É aqui que a onda de phishing SVG se intersecta com o DMARC de uma forma que importa para todo administrador que gerencia autenticação de e-mail.
DMARC, SPF e DKIM verificam a identidade do remetente. Eles respondem a uma pergunta específica: este e-mail realmente vem do domínio que alega ser? Quando um e-mail de phishing passa pela autenticação completa, significa que o e-mail veio de uma fonte legítima, seja um servidor de e-mail autorizado ou, em muitos casos, uma conta de usuário comprometida.
O phishing SVG frequentemente se origina de contas comprometidas em organizações legítimas. Um atacante ganha acesso a uma caixa de correio real e envia mensagens com SVG maliciosos a partir daí. Essas mensagens carregam a assinatura DKIM válida do proprietário do domínio. Elas se originam de infraestrutura autorizada pelo SPF. Elas se alinham para o DMARC. O veredicto de autenticação é Aprovado nos três protocolos.
A política DMARC p=reject de uma organização receptora não tem efeito algum neste cenário porque o e-mail não é falsificado. Ele vem exatamente de quem afirma vir: uma pessoa real em uma empresa real cuja conta foi comprometida.
Esse padrão é consistente com como as ameaças pós-autenticação evoluem. À medida que as organizações aplicam o DMARC e reduzem os volumes de e-mail falsificado, os atacantes mudam para técnicas que operam dentro da camada de autenticação em vez de contra ela. Cargas SVG entregues por meio de e-mail autenticado são uma instância específica e mensurável dessa mudança.
O Que Fazer
A aplicação do DMARC continua essencial. Ele elimina o e-mail falsificado que de outra forma transportaria essas cargas em escala muito maior. Mas lidar com o phishing SVG requer ação na camada de filtragem de anexos, além da camada de autenticação.
Bloquear ou colocar em sandbox os anexos SVG no gateway. A maioria das organizações não tem nenhuma razão legítima para receber arquivos SVG como anexos de e-mail. Adicionar SVG à lista de tipos de anexo bloqueados ou em sandbox no nível do gateway fecha o caminho de entrega para essa técnica. Se seu ambiente requer arquivos SVG para fluxos de trabalho internos, considere redirecioná-los por uma plataforma de compartilhamento de arquivos em vez do e-mail.
Ampliar o sandbox além dos executáveis. As configurações legadas de gateways tratam apenas arquivos com extensões executáveis como perigosos. A onda SVG demonstra que arquivos de imagem agora podem carregar cargas com capacidade de execução. O sandbox deve cobrir qualquer tipo de arquivo que um navegador ou sistema operacional abrirá nativamente sem solicitar confirmação do usuário.
Monitorar relatórios agregados DMARC para detectar fontes de envio inesperadas. Quando contas de usuário no seu domínio são comprometidas e usadas para enviar e-mails de phishing, os relatórios agregados DMARC das organizações receptoras mostrarão autenticações bem-sucedidas de endereços IP inesperados. A detecção precoce de uma conta comprometida limita o dano antes que ela tenha enviado milhares de cargas SVG para o exterior.
Aplicar DMARC com p=reject. O DMARC não filtra conteúdo, mas elimina completamente o e-mail falsificado. Organizações sem política DMARC ou com uma política p=none são alvos mais atraentes para atacantes que buscam domínios para falsificar em escala. Aplicar p=reject elimina essa opção e empurra os atacantes para o caminho mais custoso de comprometer contas reais.
Atualizar o treinamento de usuários sobre tipos de anexo. A maioria dos usuários trata arquivos de imagem como de baixo risco. Essa suposição precisa ser atualizada. Arquivos SVG de remetentes externos não são anexos comerciais comuns e devem ser tratados com a mesma suspeita que arquivos executáveis.
O Excello Mail oferece visibilidade contínua dos relatórios agregados DMARC, monitoramento do alinhamento de autenticação em todas as suas fontes de envio e alertas de infraestrutura que detectam endereços IP inesperados antes que uma conta comprometida se torne um ponto de lançamento de phishing. Cadastre-se gratuitamente no Excello Mail e feche as lacunas de visibilidade que as campanhas de phishing SVG exploram.