- Les courriers électroniques se faisant passer pour le bureau du procureur général de Colombie distribuent des pièces jointes SVG comme leurres.
- Les fichiers « personnalisés » par victime, l’automatisation et les preuves d’utilisation de l’IA compliquent la détection.
- La chaîne d’infection se termine par le déploiement d’AsyncRAT via le chargement latéral de DLL.
- 44 SVG uniques et plus de 500 artefacts ont été observés depuis août, avec une faible détection initiale.
En Amérique latine, il y a eu une vague de campagnes malveillantes avec la Colombie comme épicentre, où des courriers électroniques semblant provenir d'organisations officielles distribuent des fichiers inhabituels pour infecter les ordinateurs.
Le crochet est le même que toujours —ingénierie sociale avec de fausses assignations à comparaître ou des poursuites judiciaires—, mais le mode de livraison a fait un bond en avant : Pièces jointes SVG avec logique intégrée, modèles automatisés et signaux pointant vers des processus assistés par l'IA.
Une opération ciblant les utilisateurs en Colombie
Les messages usurpent l'identité des entités telles que le bureau du procureur général et inclure un fichier .svg dont la taille, souvent supérieure à 10 Mo, devrait déjà éveiller les soupçons. À l'ouverture, au lieu d'un document légitime, vous voyez un interface qui simule les procédures officielles avec des barres de progression et des vérifications supposées.
Après quelques secondes, le navigateur lui-même enregistre un Code postal protégé par mot de passe, clairement illustrées dans le même fichier, renforçant la mise en scène d'une procédure « formelle ». Dans l'un des échantillons analysés (SHA-1 : 0AA1D24F40EEC02B26A12FBE2250CAB1C9F7B958), les solutions de sécurité ESET l'ont identifié comme JS/TrojanDropper.Agent.PSJ.
L'envoi n'est pas massif avec une seule pièce jointe : Chaque destinataire reçoit un SVG différent, avec des données aléatoires qui les rendent uniques. Ce « polymorphisme » complique à la fois le filtrage automatisé et le travail des analystes.
Les télémétries montrent pics d'activité en milieu de semaine en août, avec une incidence plus élevée parmi les utilisateurs situés en Colombie, ce qui suggère une campagne soutenue ciblant ce pays.
Le rôle du fichier SVG et l'astuce de la contrebande
Un SVG est un Format d'image vectorielle basé sur XML. Cette flexibilité (texte, styles et scripts dans le même fichier) permet aux attaquants d'incorporer code et données cachés sans avoir besoin de ressources externes visibles, une technique connue sous le nom de « contrebande SVG » et documentée dans MITRE ATT&CK.
Dans cette campagne, la tromperie est exécutée au sein même du SVG : une fausse page d'information est rendue avec des contrôles et des messages qui, une fois terminés, obligent le navigateur à enregistrer un package ZIP avec un exécutable qui lance l'étape suivante de l'infection.
Une fois que la victime exécute le contenu téléchargé, la chaîne avance à travers Chargement latéral de DLL:Un binaire légitime charge sans le savoir une bibliothèque conçue qui passe inaperçue et permet à l'attaquant de poursuivre l'intrusion.
Le but ultime est d'installer AsyncRAT, un cheval de Troie d'accès à distance capable d'enregistrer les frappes, d'exfiltrer des fichiers et de capturer l'écran, contrôler la caméra et le microphone et voler les informations d’identification stockées dans les navigateurs.
Empreintes d'automatisation et d'IA dans les modèles
Le balisage des SVG analysés révèle Phrases génériques, champs de mise en page vides et classes trop descriptives, en plus des substitutions frappantes, telles que symboles officiels par émojis— qu’aucun véritable portail n’utiliserait.
Il existe également des mots de passe clairs et des prétendus « hachages de vérification » qui Ce ne sont rien de plus que des chaînes MD5 sans validité pratique. Tout pointe vers des kits préfabriqués ou modèles générés automatiquement produire des accessoires en série avec un minimum d'effort humain.
Évasion et chiffres de campagne
Les plateformes de partage d'échantillons ont compté au moins 44 SVG uniques employés dans l'exploitation et plus de 500 artefacts liés depuis la mi-aoûtLes premières variantes étaient lourdes (environ 25 Mo) et ont été « ajustées » au fil du temps.
Pour éviter les contrôles, les échantillons utilisent obfuscation, polymorphisme et grandes quantités de code gonflé qui confondent l'analyse statique, ce qui a abouti à faible détection initiale par plusieurs moteurs.
Utilisation de Marqueurs espagnols dans le XML et des modèles répétés ont permis aux chercheurs de créer des règles de chasse et des signatures qui, appliquées rétrospectivement, ont lié des centaines d'expéditions à la même campagne.
Un deuxième vecteur : les fichiers SWF combinés
Parallèlement, il a été observé Fichiers SWF déguisés en mini-jeux 3D, avec des modules ActionScript et des routines AES qui mélangeaient la logique fonctionnelle avec des composants opaques ; une tactique qui augmente les seuils heuristiques et retarde leur classification comme malveillantes.
El Le duo SWF+SVG a joué comme pont entre les formats hérités et modernes:Alors que le SWF confondait les moteurs, le SVG a injecté une page de phishing HTML codée et a laissé un ZIP supplémentaire sans aucune interaction de l'utilisateur au-delà du clic initial.
La combinaison de échantillons personnalisés par victime, des dossiers volumineux et des techniques de contrebande expliquent que filtres basés sur la réputation ou des modèles simples n’ont pas arrêté la propagation lors des premières vagues.
Ce que ces résultats suggèrent, c'est une opération qui Profitez pleinement du format SVG pour vous faire passer pour des organisations colombiennes, automatise la création de pièces jointes et aboutit à AsyncRAT via le chargement latéral de DLL. Face à un e-mail d'assignation à comparaître contenant un fichier .svg ou des mots de passe clairs, il est prudent de se méfier et valider par les canaux officiels avant d'ouvrir quoi que ce soit.
Je suis un passionné de technologie qui a fait de ses intérêts de « geek » un métier. J'ai passé plus de 10 ans de ma vie à utiliser des technologies de pointe et à bricoler toutes sortes de programmes par pure curiosité. Aujourd'hui, je me spécialise dans l'informatique et les jeux vidéo. En effet, depuis plus de 5 ans, j'écris pour différents sites Web sur la technologie et les jeux vidéo, créant des articles qui cherchent à vous donner les informations dont vous avez besoin dans un langage compréhensible par tous.
Si vous avez des questions, mes connaissances s'étendent de tout ce qui concerne le système d'exploitation Windows ainsi qu'Android pour les téléphones mobiles. Et mon engagement est envers vous, je suis toujours prêt à consacrer quelques minutes et à vous aider à résoudre toutes les questions que vous pourriez avoir dans ce monde Internet.