- E-maily vydávající se za úřad generálního prokurátora v Kolumbii distribuují přílohy SVG jako návnady.
- „Vlastní“ soubory pro každou oběť, automatizace a důkazy o použití umělé inteligence komplikují detekci.
- Řetězec infekce končí nasazením AsyncRAT pomocí bočního načítání DLL.
- Od srpna bylo pozorováno 44 unikátních objektů SVG a přes 500 artefaktů s nízkou počáteční detekcí.
V Latinské Americe došlo k vlna škodlivých kampaní s Kolumbií v epicentru, kde e-maily, které vypadají, že pocházejí od oficiálních organizací, distribuují neobvyklé soubory za účelem infikování počítačů.
Háček je stejný jako vždycky –sociální inženýrství s falešnými předvoláními nebo žalobami— ale způsob doručení se posunul vpřed: SVG přílohy s vloženou logikou, automatizovanými šablonami a signály, které odkazují na procesy s podporou umělé inteligence.
Operace zaměřená na uživatele v Kolumbii
Zprávy se vydávají za osoby subjekty, jako je například úřad generálního prokurátora a zahrnout soubor .svg, jehož velikost – často přesahující 10 MB – by měla sama o sobě vzbudit podezření. Po otevření se místo legitimního dokumentu zobrazí rozhraní, které simuluje úřední postupy s ukazateli průběhu a údajnými ověřeními.
Po několika sekundách si prohlížeč sám uloží PSČ chráněné heslem, jasně zobrazené ve stejném souboru, což posiluje fázi „formálního“ postupu. V jednom z analyzovaných vzorků (SHA-1: 0AA1D24F40EEC02B26A12FBE2250CAB1C9F7B958), bezpečnostní řešení společnosti ESET jej identifikovala jako JS/TrojanDropper.Agent.PSJ.
Zásilka není masivní s jedinou přílohou: Každý příjemce obdrží jiný SVG., s náhodnými daty, díky nimž je jedinečný. Tento „polymorfismus“ ztěžuje jak automatické filtrování, tak práci analytiků.
Telemetrické ukazatele aktivita vrcholí uprostřed týdne v srpnu, s vyšším výskytem mezi uživateli nacházejícími se v Kolumbii, což naznačuje soustavnou kampaň zaměřenou na tuto zemi.
Role souboru SVG a trik s pašováním
SVG je Vektorový obrazový formát založený na XMLTato flexibilita – text, styly a skripty v rámci stejného souboru – umožňuje útočníkům začlenit skrytý kód a data bez nutnosti viditelných externích zdrojů, technika známá jako „pašování SVG“ a zdokumentovaná v MITRE ATT&CK.
V této kampani je podvod proveden uvnitř samotného SVG: zobrazí se falešná informační stránka s ovládacími prvky a zprávami, které po dokončení způsobí, že prohlížeč uloží ZIP balíček se spustitelným souborem, který zahájí další krok infekce.
Jakmile oběť spustí stažený obsah, řetězec pokračuje dál. DLL sideloadingLegitimní binární soubor nevědomky načte vytvořenou knihovnu, která zůstává nepozorována a umožňuje útočníkovi pokračovat v útoku.
Konečným cílem je instalace AsyncRAT, trojský kůň pro vzdálený přístup schopný keyloggu, exfiltrace souborů a snímání obrazovky, ovládání kamery a mikrofonu a krást přihlašovací údaje uložené v prohlížečích.
Automatizace a stopy umělé inteligence v šablonách
Značení analyzovaných SVG odhaluje Obecné fráze, prázdná pole rozvržení a příliš popisné třídy, kromě výrazných substitucí – jako například oficiální symboly pomocí emoji— které by žádný skutečný portál nepoužil.
Existují také jasná hesla a údajné „ověřovací hashe“, které Nejsou to nic víc než řetězce MD5 bez praktické platnosti. Všechno ukazuje na prefabrikované stavebnice nebo automaticky generované šablony vyrábět přídavné zařízení sériově s minimálním lidským úsilím.
Úniky a čísla kampaní
Platformy pro sdílení vzorků napočítaly alespoň 44 unikátních SVG obrázků zaměstnanců v provozu a více než 500 souvisejících artefaktů od poloviny srpnaPrvní varianty byly těžké – kolem 25 MB – a postupem času byly „vylaďovány“.
Aby se zabránilo kontrolám, vzorky používají zmatkování, polymorfismus a velké množství nadbytečného kódu které matou statickou analýzu, což vedlo k nízká počáteční detekce několika motory.
Použití Španělské značky v XML a opakované vzorce umožnily výzkumníkům vytvořit pravidla lovu a podpisy, které při zpětné aplikaci propojily stovky zásilek se stejnou kampaní.
Druhý vektor: kombinované soubory SWF
Souběžně bylo pozorováno Soubory SWF maskované jako 3D minihry, s moduly ActionScript a rutinami AES, které mísily funkční logiku s neprůhlednými komponentami; taktika, která zvyšuje heuristické prahy a odkládá jejich klasifikaci jako škodlivých.
El Duo SWF+SVG vystoupilo jako most mezi staršími a moderními formátyZatímco SWF zmátl motory, SVG vložil kódovanou HTML phishingovou stránku a zanechal další ZIP soubor bez jakékoli interakce s uživatelem kromě prvního kliknutí.
Kombinace personalizované vzorky pro každou oběť, objemné spisy a techniky pašování vysvětlují, že filtry založené na reputaci nebo jednoduchých vzorcích nezastavily šíření v prvních vlnách.
Z těchto zjištění vyplývá operace, která Využijte plně formát SVG k vydávání se za kolumbijské organizace, automatizuje vytváření příloh a vrcholí AsyncRAT pomocí bočního načítání DLL. Pokud se setkáte s jakýmkoli e-mailem s „předvoláním“, který obsahuje soubor .svg nebo smazání hesel, je moudré být podezřívavý a ověřit oficiálními kanály než cokoli otevřete.
Jsem technologický nadšenec, který ze svých „geekovských“ zájmů udělal profesi. Strávil jsem více než 10 let svého života používáním nejmodernějších technologií a vrtáním se všemi druhy programů z čisté zvědavosti. Nyní se specializuji na počítačovou techniku a videohry. Je to proto, že již více než 5 let píšu pro různé webové stránky o technologiích a videohrách a tvořím články, které se vám snaží poskytnout informace, které potřebujete, v jazyce, který je srozumitelný všem.
Pokud máte nějaké dotazy, mé znalosti sahají od všeho, co se týká operačního systému Windows a také Androidu pro mobilní telefony. A můj závazek je vůči vám, jsem vždy ochoten strávit pár minut a pomoci vám vyřešit jakékoli otázky, které můžete mít v tomto internetovém světě.