- E-maily vydávající se za úřad generálního prokurátora v Kolumbii distribuují přílohy SVG jako návnady.
- „Vlastní“ soubory pro každou oběť, automatizace a důkazy o použití umělé inteligence komplikují detekci.
- Řetězec infekce končí nasazením AsyncRAT pomocí bočního načítání DLL.
- Od srpna bylo pozorováno 44 unikátních objektů SVG a přes 500 artefaktů s nízkou počáteční detekcí.
V Latinské Americe došlo k vlna škodlivých kampaní s Kolumbií v epicentru, kde e-maily, které vypadají, že pocházejí od oficiálních organizací, distribuují neobvyklé soubory za účelem infikování počítačů.
Háček je stejný jako vždycky –sociální inženýrství s falešnými předvoláními nebo žalobami— ale způsob doručení se posunul vpřed: SVG přílohy s vloženou logikou, automatizovanými šablonami a signály, které odkazují na procesy s podporou umělé inteligence.
Operace zaměřená na uživatele v Kolumbii
Zprávy se vydávají za osoby subjekty, jako je například úřad generálního prokurátora a zahrnout soubor .svg, jehož velikost – často přesahující 10 MB – by měla sama o sobě vzbudit podezření. Po otevření se místo legitimního dokumentu zobrazí rozhraní, které simuluje úřední postupy s ukazateli průběhu a údajnými ověřeními.
Po několika sekundách si prohlížeč sám uloží PSČ chráněné heslem, jasně zobrazené ve stejném souboru, což posiluje fázi „formálního“ postupu. V jednom z analyzovaných vzorků (SHA-1: 0AA1D24F40EEC02B26A12FBE2250CAB1C9F7B958), bezpečnostní řešení společnosti ESET jej identifikovala jako JS/TrojanDropper.Agent.PSJ.
Zásilka není masivní s jedinou přílohou: Každý příjemce obdrží jiný SVG., s náhodnými daty, díky nimž je jedinečný. Tento „polymorfismus“ ztěžuje jak automatické filtrování, tak práci analytiků.
Telemetrické ukazatele aktivita vrcholí uprostřed týdne v srpnu, s vyšším výskytem mezi uživateli nacházejícími se v Kolumbii, což naznačuje soustavnou kampaň zaměřenou na tuto zemi.
Role souboru SVG a trik s pašováním
SVG je Vektorový obrazový formát založený na XMLTato flexibilita – text, styly a skripty v rámci stejného souboru – umožňuje útočníkům začlenit skrytý kód a data bez nutnosti viditelných externích zdrojů, technika známá jako „pašování SVG“ a zdokumentovaná v MITRE ATT&CK.
V této kampani je podvod proveden uvnitř samotného SVG: zobrazí se falešná informační stránka s ovládacími prvky a zprávami, které po dokončení způsobí, že prohlížeč uloží ZIP balíček se spustitelným souborem, který zahájí další krok infekce.
Jakmile oběť spustí stažený obsah, řetězec pokračuje dál. Načítání DLL z jiných zdrojůLegitimní binární soubor nevědomky načte vytvořenou knihovnu, která zůstává nepozorována a umožňuje útočníkovi pokračovat v útoku.
Konečným cílem je instalace AsyncRAT, trojský kůň pro vzdálený přístup schopný keyloggu, exfiltrace souborů a snímání obrazovky, ovládání kamery a mikrofonu a krást přihlašovací údaje uložené v prohlížečích.
Automatizace a stopy umělé inteligence v šablonách
Značení analyzovaných SVG odhaluje Obecné fráze, prázdná pole rozvržení a příliš popisné třídy, kromě výrazných substitucí – jako například oficiální symboly pomocí emoji— které by žádný skutečný portál nepoužil.
Existují také jasná hesla a údajné „ověřovací hashe“, které Nejsou to nic víc než řetězce MD5 bez praktické platnosti. Všechno ukazuje na prefabrikované stavebnice nebo automaticky generované šablony vyrábět přídavné zařízení sériově s minimálním lidským úsilím.
Úniky a čísla kampaní
Platformy pro sdílení vzorků napočítaly alespoň 44 unikátních SVG obrázků zaměstnanců v provozu a více než 500 souvisejících artefaktů od poloviny srpnaPrvní varianty byly těžké – kolem 25 MB – a postupem času byly „vylaďovány“.
Aby se zabránilo kontrolám, vzorky používají zmatkování, polymorfismus a velké množství nadbytečného kódu které matou statickou analýzu, což vedlo k nízká počáteční detekce několika motory.
Použití Španělské značky v XML a opakované vzorce umožnily výzkumníkům vytvořit pravidla lovu a podpisy, které při zpětné aplikaci propojily stovky zásilek se stejnou kampaní.
Druhý vektor: kombinované soubory SWF
Souběžně bylo pozorováno Soubory SWF maskované jako 3D minihry, s moduly ActionScript a rutinami AES, které mísily funkční logiku s neprůhlednými komponentami; taktika, která zvyšuje heuristické prahy a odkládá jejich klasifikaci jako škodlivých.
El Duo SWF+SVG vystoupilo jako most mezi staršími a moderními formátyZatímco SWF zmátl motory, SVG vložil kódovanou HTML phishingovou stránku a zanechal další ZIP soubor bez jakékoli interakce s uživatelem kromě prvního kliknutí.
Kombinace personalizované vzorky pro každou oběť, objemné spisy a techniky pašování vysvětlují, že filtry založené na reputaci nebo jednoduchých vzorcích nezastavily šíření v prvních vlnách.
Z těchto zjištění vyplývá operace, která Využijte plně formát SVG k vydávání se za kolumbijské organizace, automatizuje vytváření příloh a vrcholí AsyncRAT pomocí bočního načítání DLL. Pokud se setkáte s jakýmkoli e-mailem s „předvoláním“, který obsahuje soubor .svg nebo smazání hesel, je moudré být podezřívavý a ověřit oficiálními kanály než cokoli otevřete.
Jsem technologický nadšenec, který ze svých „geekovských“ zájmů udělal profesi. Strávil jsem více než 10 let svého života používáním nejmodernějších technologií a vrtáním se všemi druhy programů z čisté zvědavosti. Nyní se specializuji na počítačovou techniku a videohry. Je to proto, že již více než 5 let píšu pro různé webové stránky o technologiích a videohrách a tvořím články, které se vám snaží poskytnout informace, které potřebujete, v jazyce, který je srozumitelný všem.
Pokud máte nějaké dotazy, mé znalosti sahají od všeho, co se týká operačního systému Windows a také Androidu pro mobilní telefony. A můj závazek je vůči vám, jsem vždy ochoten strávit pár minut a pomoci vám vyřešit jakékoli otázky, které můžete mít v tomto internetovém světě.