- Retpoŝtoj ŝajnigantaj esti la oficejo de la ĝenerala prokuroro en Kolombio distribuas SVG-aldonaĵojn kiel forlogaĵojn.
- "Laŭmendaj" dosieroj por viktimo, aŭtomatigo kaj pruvoj pri uzo de artefarita inteligenteco malfaciligas detekton.
- La infektoĉeno finiĝas per deplojo de AsyncRAT per DLL-flankŝarĝado.
- 44 unikaj SVG-oj kaj pli ol 500 artefaktoj estis viditaj ekde aŭgusto, kun malalta komenca detekto.
En Latinameriko okazis ondo de malicaj kampanjoj kun Kolombio kiel la epicentro, kie retpoŝtoj ŝajne venintaj de oficialaj organizaĵoj distribuas nekutimajn dosierojn por infekti komputilojn.
La hoko estas la sama kiel ĉiam —socia inĝenierado kun falsaj alvokoj aŭ procesoj—, sed la livermetodo faris salton antaŭen: SVG-aldonaĵoj kun enigita logiko, aŭtomataj ŝablonoj kaj signaloj, kiuj montras al AI-helpataj procezoj.
Operacio celanta uzantojn en Kolombio
Mesaĝoj ŝajnigas esti entojn kiel ekzemple la oficejo de la ŝtatadvokato kaj inkluzivi .svg-dosieron kies grandeco — ofte superanta 10 MB — jam devus veki suspekton. Kiam vi malfermas ĝin, anstataŭ legitima dokumento, vi vidas interfaco kiu simulas oficialajn procedurojn kun progresaj stangoj kaj supozeblaj konfirmoj.
Post kelkaj sekundoj, la retumilo mem konservas Pasvort-protektita poŝtkodo, klare montrita ene de la sama dosiero, plifortigante la enscenigon de "formala" proceduro. En unu el la analizitaj specimenoj (SHA-1: 0AA1D24F40EEC02B26A12FBE2250CAB1C9F7B958), ESET sekurecaj solvoj identigis ĝin kiel JS/TrojanDropper.Agent.PSJ.
La sendaĵo ne estas grandega kun ununura aldonaĵo: Ĉiu ricevanto ricevas malsaman SVG-on, kun hazardaj datumoj, kiuj igas ĝin unika. Ĉi tiu "polimorfismo" malfaciligas kaj aŭtomatan filtradon kaj la laboron de analizistoj.
Telemetrioj montras mezsemajna aktiveco pintas dum aŭgusto, kun pli alta incidenco inter uzantoj situantaj en Kolombio, sugestante daŭran kampanjon celantan tiun landon.
La rolo de la SVG-dosiero kaj la kontrabanda truko
SVG estas XML-bazita vektora bildformatoĈi tiu fleksebleco — teksto, stiloj kaj skriptoj ene de la sama dosiero — permesas al atakantoj integri kaŝita kodo kaj datumoj sen bezono de videblaj eksteraj rimedoj, tekniko konata kiel "SVG-kontrabando" kaj dokumentita en MITRE ATT&CK.
En ĉi tiu kampanjo, la trompo estas efektivigita ene de la SVG mem: falsa informpaĝo estas montrata kun kontroloj kaj mesaĝoj kiuj, post kompletigo, igas la retumilon konservi ZIP-pakaĵon kun efektivigebla dosiero kiu iniciatas la sekvan paŝon de la infekto.
Post kiam la viktimo efektivigas la elŝutitan enhavon, la ĉeno antaŭeniras tra Flankŝarĝo de DLLLegitima duuma dosiero senscie ŝarĝas kreitan bibliotekon, kiu restas nerimarkita kaj permesas al la atakanto daŭrigi la entrudiĝon.
La finfina celo estas instali Nesinkrona, trojano kun fora aliro kapabla je klavregistro, dosierelfiltrado, ekrankapto, kontroli fotilon kaj mikrofonon kaj ŝteli akreditaĵojn konservitajn en retumiloj.
Aŭtomatigo kaj AI-spuroj en ŝablonoj
La markado de la analizitaj SVG-oj montras Ĝeneralaj frazoj, malplenaj aranĝaj kampoj, kaj tro priskribaj klasoj, krom frapaj anstataŭigoj — kiel ekzemple oficialaj simboloj per emojioj— kiun neniu vera portalo uzus.
Ankaŭ ekzistas klaraj pasvortoj kaj supozeblaj "konfirmaj haŝoj", kiuj Ili estas nenio pli ol MD5-ĉenoj sen praktika valideco. Ĉio sugestas prefabrikitajn ilarojn aŭ aŭtomate generitaj ŝablonoj produkti aldonaĵojn en serio kun minimuma homa peno.
Evitado kaj kampanjaj nombroj
Specimenaj platformoj por kunhavigo kalkuliĝis almenaŭ 44 unikaj SVG-oj dungitoj en la operacio kaj pli ol 500 rilataj artefaktoj ekde meze de aŭgustoLa unuaj variaĵoj estis pezaj — ĉirkaŭ 25 MB — kaj estis "agorditaj" laŭlonge de la tempo.
Por eviti kontrolojn, la specimenoj uzas malklarigado, polimorfismo, kaj grandaj kvantoj de ŝvela kodo kiuj konfuzas statikan analizon, kio rezultigis malalta komenca detekto per pluraj motoroj.
La uzo de Hispanaj markiloj ene de la XML kaj ripetaj ŝablonoj permesis al esploristoj krei ĉasregulojn kaj signaturojn, kiuj, aplikitaj retrospektive, ligis centojn da sendaĵoj al la sama kampanjo.
Dua vektoro: kombinitaj SWF-dosieroj
Paralele, oni observis SWF-dosieroj kaŝvestitaj kiel 3D-miniludoj, per ActionScript-moduloj kaj AES-rutinoj kiuj miksis funkcian logikon kun opakaj komponantoj; taktiko kiu levas heŭristikajn sojlojn kaj prokrastas ilian klasifikon kiel malican.
El SWF+SVG duopo prezentis kiel ponto inter heredaĵaj kaj modernaj formatojDum la SWF konfuzis la motorojn, la SVG injektis ĉifritan HTML-fiŝpaĝon kaj lasis plian ZIP-kodon sen iu ajn uzanta interagado preter la komenca klako.
La kombinaĵo de personigitaj specimenoj por ĉiu viktimo, grandaj dosieroj kaj kontrabandaj teknikoj klarigas, ke la filtriloj bazitaj sur reputacio aŭ simplaj ŝablonoj ne haltigis la disvastiĝon en la unuaj ondoj.
Kion ĉi tiuj trovoj tiras estas operacio kiu Plena utiligo de la SVG-formato por imiti kolombiajn organizaĵojn, aŭtomatigas la kreadon de aldonaĵoj kaj kulminas per AsyncRAT per DLL-flanka ŝarĝo. Kiam oni alfrontas iun ajn "alvoko"-retpoŝton, kiu inkluzivas .svg-dosieron aŭ klarajn pasvortojn, estas saĝe esti suspektinda kaj validigi per oficialaj kanaloj antaŭ ol malfermi ion ajn.
Mi estas teknologientuziasmulo, kiu transformis siajn "geek" interesojn en profesion. Mi pasigis pli ol 10 jarojn de mia vivo uzante avangardan teknologion kaj tuŝante ĉiajn programojn pro pura scivolemo. Nun mi specialiĝis pri komputila teknologio kaj videoludoj. Ĉi tio estas ĉar de pli ol 5 jaroj mi verkas por diversaj retejoj pri teknologio kaj videoludoj, kreante artikolojn, kiuj celas doni al vi la informojn, kiujn vi bezonas en lingvo komprenebla por ĉiuj.
Se vi havas demandojn, mia scio varias de ĉio rilata al la Vindoza operaciumo same kiel Android por poŝtelefonoj. Kaj mia devontigo estas al vi, mi ĉiam pretas pasigi kelkajn minutojn kaj helpi vin solvi ajnajn demandojn, kiujn vi povas havi en ĉi tiu interreta mondo.