- Kolumbiya Baş Prokurorluğunun kimliyini təqdim edən e-poçtlar SVG qoşmalarını fırıldaqçı kimi paylayır.
- Qurban başına "xüsusi" fayllar, avtomatlaşdırma və süni intellektdən istifadə sübutları aşkarlanmağı çətinləşdirir.
- İnfeksiya zənciri DLL yan yükləmə vasitəsilə AsyncRAT-ın yerləşdirilməsi ilə başa çatır.
- Avqust ayından bəri aşağı ilkin aşkarlama ilə 44 unikal SVG və 500-dən çox artefakt görülüb.
Latın Amerikasında var idi episentri Kolumbiya olan zərərli kampaniyalar dalğası, burada rəsmi təşkilatlardan gələn e-poçtlar kompüterləri yoluxdurmaq üçün qeyri-adi faylları yayır.
Qarmaq həmişəki kimidir -saxta çağırış və ya məhkəmə iddiaları ilə sosial mühəndislik-, lakin çatdırılma üsulu irəliyə doğru sıçrayış etdi: Daxili məntiqi, avtomatlaşdırılmış şablonları və süni intellektlə dəstəklənən proseslərə işarə edən siqnalları olan SVG qoşmaları.
Kolumbiyadakı istifadəçiləri hədəf alan əməliyyat
Mesajlar özünü təqlid edir Baş Prokurorluq kimi qurumlar və ölçüsü 10 MB-dan çox olan .svg faylını daxil edin, artıq şübhə doğurmalıdır. Onu açanda qanuni sənəd əvəzinə a rəsmi prosedurları simulyasiya edən interfeys tərəqqi çubuqları və ehtimal edilən doğrulamalarla.
Bir neçə saniyədən sonra brauzer özü a Parolla qorunan ZIP, eyni faylda aydın şəkildə göstərilir və “formal” prosedurun quruluşunu gücləndirir. Təhlil edilən nümunələrdən birində (SHA-1: 0AA1D24F40EEC02B26A12FBE2250CAB1C9F7B958), ESET təhlükəsizlik həlləri bunu olaraq təyin etdi JS/TrojanDropper.Agent.PSJ.
Göndərmə tək əlavə ilə kütləvi deyil: Hər bir alıcı fərqli SVG alır, onu unikal edən təsadüfi məlumatlarla. Bu “polimorfizm” həm avtomatlaşdırılmış filtrasiyanı, həm də analitiklərin işini çətinləşdirir.
Telemetriya göstərir həftə ortası aktivlik zirvəsi avqustda olur, Kolumbiyada yerləşən istifadəçilər arasında daha çox rast gəlinir ki, bu da həmin ölkəni hədəfləyən davamlı kampaniya təklif edir.
SVG faylının rolu və qaçaqmalçılıq hiyləsi
SVG a XML əsaslı vektor şəkil formatı. Bu çeviklik - mətn, üslub və eyni fayldakı skriptlər - təcavüzkarlara gizli kod və məlumatlar görünən xarici resurslara ehtiyac olmadan, “SVG qaçaqmalçılığı” kimi tanınan və MITER ATT&CK-da sənədləşdirilmiş texnika.
Bu kampaniyada aldatma SVG-nin özündə həyata keçirilir: saxta məlumat səhifəsi göstərilir başa çatdıqdan sonra brauzerin infeksiyanın növbəti addımını başlatan icra olunan fayl ilə ZIP paketini saxlamasına səbəb olan nəzarət və mesajlarla.
Qurban yüklənmiş məzmunu icra etdikdən sonra zəncir irəliləyir DLL yan yükləmə: Qanuni binar, aşkarlanmayan hazırlanmış kitabxananı bilmədən yükləyir və təcavüzkarın müdaxiləni davam etdirməsinə imkan verir.
Son məqsəd quraşdırmaqdır AsyncRAT, keylogging, fayl eksfiltrasiyası, ekran ələ keçirməyə qadir olan uzaqdan giriş troyanı, kamera və mikrofona nəzarət və brauzerlərdə saxlanılan etimadnamələri oğurlayır.
Şablonlarda avtomatlaşdırma və AI izləri
Təhlil edilən SVG-lərin işarələnməsi ortaya çıxır Ümumi ifadələr, boş yerləşdirmə sahələri və həddən artıq təsviri siniflər, təəccüblü əvəzetmələrlə yanaşı—məsələn emojilərlə rəsmi simvollar- heç bir real portal istifadə etməyəcək.
Aydın parollar və güman edilən “yoxlama hashları” da var Onlar MD5 sətirlərindən başqa bir şey deyil praktiki etibarlılığı olmayan. Hər şey prefabrik dəstlərə işarə edir və ya avtomatik yaradılan şablonlar minimum insan zəhməti ilə əlavələri ardıcıl olaraq istehsal etmək.
Qaçma və kampaniya nömrələri
Nümunə paylaşma platformaları ən azı sayılır 44 unikal SVG əməliyyatda olan işçilər və daha çox Avqustun ortalarından bəri 500 əlaqəli artefaktİlk variantlar ağır idi (təxminən 25 MB) və zaman keçdikcə “tənzimləndi”.
Nəzarətdən qaçmaq üçün nümunələr istifadə olunur qarışıqlıq, polimorfizm və böyük miqdarda bloat kodu nəticələnən statik analizi çaşdırır aşağı ilkin aşkarlama bir neçə mühərriklə.
İstifadəsi XML daxilində İspan markerləri və təkrarlanan nümunələr tədqiqatçılara ov qaydaları və imzaları yaratmağa imkan verdi ki, onlar retrospektiv şəkildə tətbiq olunaraq, yüzlərlə göndərişi eyni kampaniyaya bağladı.
İkinci vektor: birləşdirilmiş SWF faylları
Paralel olaraq müşahidə olunub 3D mini oyunlar kimi maskalanmış SWF faylları, funksional məntiqi qeyri-şəffaf komponentlərlə qarışdıran ActionScript modulları və AES rutinləri ilə; belə bir taktika evristik hədləri yüksəldir və onların zərərli kimi təsnifatını gecikdirir.
El SWF+SVG dueti kimi çıxış etdi miras və müasir formatlar arasında körpü: SWF mühərrikləri qarışdırarkən, SVG kodlanmış HTML fişinq səhifəsini daxil etdi və ilkin klikdən sonra heç bir istifadəçi əlaqəsi olmayan əlavə ZIP buraxdı.
Kombinasiyası qurban başına fərdi nümunələr, böyük faylları və qaçaqçılıq üsulları olduğunu açıqlayır nüfuza və ya sadə nümunələrə əsaslanan filtrlər ilk dalğalarda yayılmasını dayandıra bilmədi.
Bu tapıntıların çəkdiyi bir əməliyyatdır Kolumbiya təşkilatlarını təqlid etmək üçün SVG formatından tam yararlanın, qoşmaların yaradılmasını avtomatlaşdırır və DLL sideloading vasitəsilə AsyncRAT ilə yekunlaşır. .svg faylı və ya aydın parolları ehtiva edən hər hansı "suç çağırışı" e-poçtu ilə qarşılaşdıqda, şübhəli olmaq ağıllıdır. rəsmi kanallar vasitəsilə təsdiqləyin bir şey açmazdan əvvəl.
Mən öz "geek" maraqlarını peşəyə çevirmiş texnologiya həvəskarıyam. Mən həyatımın 10 ilindən çoxunu qabaqcıl texnologiyadan istifadə edərək və hər cür proqramlarla maraqlanaraq sərf etmişəm. İndi mən kompüter texnologiyası və video oyunları üzrə ixtisaslaşmışam. Bunun səbəbi, 5 ildən artıqdır ki, texnologiya və video oyunlarla bağlı müxtəlif saytlar üçün yazılar yazıram, sizə lazım olan məlumatları hamı üçün başa düşülən dildə verməyə çalışan məqalələr hazırlayıram.
Hər hansı bir sualınız varsa, mənim biliklərim Windows əməliyyat sistemi, eləcə də mobil telefonlar üçün Android ilə əlaqəli hər şeyi əhatə edir. Və mənim öhdəliyim sizədir, mən həmişə bir neçə dəqiqə sərf etməyə və bu internet dünyasında yarana biləcək bütün suallarınızı həll etməyə kömək etməyə hazıram.