- Email yang mengatasnamakan Kantor Jaksa Agung di Kolombia mendistribusikan lampiran SVG sebagai umpan.
- File "kustom" per korban, otomatisasi, dan bukti penggunaan AI mempersulit deteksi.
- Rantai infeksi diakhiri dengan penerapan AsyncRAT melalui sideloading DLL.
- 44 SVG unik dan lebih dari 500 artefak telah terlihat sejak Agustus, dengan deteksi awal yang rendah.
Di Amerika Latin telah terjadi gelombang kampanye jahat dengan Kolombia sebagai pusatnya, di mana email yang seolah-olah berasal dari organisasi resmi mendistribusikan file yang tidak biasa untuk menginfeksi komputer.
Kaitannya sama seperti biasanya —rekayasa sosial dengan panggilan pengadilan atau tuntutan hukum palsu—, tetapi metode pengirimannya telah mengalami kemajuan pesat: Lampiran SVG dengan logika tertanam, templat otomatis, dan sinyal yang mengarah ke proses yang dibantu AI.
Operasi yang menargetkan pengguna di Kolombia
Pesan meniru entitas seperti Kejaksaan Agung dan menyertakan file .svg yang ukurannya—seringkali melebihi 10 MB—seharusnya sudah menimbulkan kecurigaan. Saat Anda membukanya, alih-alih dokumen yang sah, Anda melihat antarmuka yang mensimulasikan prosedur resmi dengan bilah kemajuan dan verifikasi yang seharusnya.
Setelah beberapa detik, browser itu sendiri menyimpan Kode pos yang dilindungi kata sandi, ditampilkan dengan jelas dalam berkas yang sama, memperkuat tahapan prosedur "formal". Dalam salah satu sampel yang dianalisis (SHA-1: 0AA1D24F40EEC02B26A12FBE2250CAB1C9F7B958), solusi keamanan ESET mengidentifikasinya sebagai JS/TrojanDropper.Agent.PSJ.
Pengirimannya tidak besar dengan satu lampiran: Setiap penerima menerima SVG yang berbeda, dengan data acak yang membuatnya unik. "Polimorfisme" ini menyulitkan penyaringan otomatis dan pekerjaan analis.
Telemetri menunjukkan puncak aktivitas pertengahan minggu terjadi pada bulan Agustus, dengan kejadian yang lebih tinggi di antara pengguna yang berlokasi di Kolombia, menunjukkan adanya kampanye berkelanjutan yang menargetkan negara tersebut.
Peran file SVG dan trik penyelundupan
SVG adalah Format gambar vektor berbasis XMLFleksibilitas ini—teks, gaya, dan skrip dalam file yang sama—memungkinkan penyerang untuk menggabungkan kode dan data tersembunyi tanpa memerlukan sumber daya eksternal yang terlihat, sebuah teknik yang dikenal sebagai “penyelundupan SVG” dan didokumentasikan dalam MITRE ATT&CK.
Dalam kampanye ini, penipuan dilakukan di dalam SVG itu sendiri: halaman informasi palsu ditampilkan dengan kontrol dan pesan yang, setelah selesai, menyebabkan browser menyimpan paket ZIP dengan file yang dapat dieksekusi yang memulai langkah infeksi berikutnya.
Setelah korban mengeksekusi konten yang diunduh, rantai tersebut maju melalui sideloading DLL: Sebuah biner yang sah tanpa disadari memuat pustaka yang dibuat yang tidak terdeteksi dan memungkinkan penyerang untuk melanjutkan intrusi.
Tujuan akhir adalah untuk menginstal tidak sinkron, Trojan akses jarak jauh yang mampu melakukan keylogging, pencurian file, tangkapan layar, kontrol kamera dan mikrofon dan mencuri kredensial yang disimpan di browser.
Jejak otomatisasi dan AI dalam templat
Markup SVG yang dianalisis mengungkapkan Frasa umum, bidang tata letak kosong, dan kelas yang terlalu deskriptif, selain melakukan penggantian yang mencolok—seperti simbol resmi dengan emoji— yang tidak akan digunakan oleh portal sungguhan.
Ada juga kata sandi yang jelas dan yang disebut “hash verifikasi” yang Mereka tidak lebih dari sekedar string MD5 tanpa validitas praktis. Semuanya mengarah pada kit prefabrikasi atau templat yang dibuat secara otomatis untuk menghasilkan keterikatan secara seri dengan usaha manusia yang minimal.
Jumlah penghindaran dan kampanye
Platform berbagi sampel telah menghitung setidaknya 44 SVG unik karyawan dalam operasi dan lebih dari 500 artefak terkait sejak pertengahan AgustusVarian pertama berukuran besar—sekitar 25 MB—dan “disesuaikan” seiring berjalannya waktu.
Untuk menghindari kontrol, sampel menggunakan pengaburan, polimorfisme, dan sejumlah besar kode yang membengkak yang membingungkan analisis statis, yang mengakibatkan deteksi awal rendah oleh beberapa mesin.
Penggunaan Penanda bahasa Spanyol dalam XML dan pola yang berulang memungkinkan peneliti membuat aturan dan tanda perburuan yang, diterapkan secara retrospektif, menghubungkan ratusan pengiriman ke kampanye yang sama.
Vektor kedua: gabungan file SWF
Secara paralel, diamati File SWF yang disamarkan sebagai minigame 3D, dengan modul ActionScript dan rutinitas AES yang menggabungkan logika fungsional dengan komponen yang tidak transparan; sebuah taktik yang meningkatkan ambang batas heuristik dan menunda klasifikasi mereka sebagai berbahaya.
El Duo SWF+SVG tampil sebagai jembatan antara format lama dan modern:Ketika SWF sedang membingungkan mesin, SVG menyuntikkan halaman phishing HTML yang dikodekan dan meninggalkan ZIP tambahan tanpa interaksi pengguna di luar klik awal.
Kombinasi dari sampel yang dipersonalisasi per korban, file-file besar dan teknik penyelundupan menjelaskan bahwa filter berdasarkan reputasi atau pola sederhana belum menghentikan penyebaran pada gelombang pertama.
Temuan ini menunjukkan sebuah operasi yang Manfaatkan sepenuhnya format SVG untuk meniru organisasi Kolombia, mengotomatiskan pembuatan lampiran dan diakhiri dengan AsyncRAT melalui sideloading DLL. Saat menerima email "panggilan pengadilan" yang berisi file .svg atau kata sandi yang jelas, sebaiknya Anda curiga dan validasi melalui saluran resmi sebelum membuka apa pun.
Saya seorang penggila teknologi yang telah mengubah minat "geek"-nya menjadi sebuah profesi. Saya telah menghabiskan lebih dari 10 tahun hidup saya menggunakan teknologi mutakhir dan mengutak-atik semua jenis program hanya karena rasa ingin tahu. Sekarang saya memiliki spesialisasi dalam teknologi komputer dan video game. Hal ini karena selama lebih dari 5 tahun saya telah menulis untuk berbagai website tentang teknologi dan video game, membuat artikel yang berupaya memberikan informasi yang Anda butuhkan dalam bahasa yang dapat dimengerti oleh semua orang.
Jika Anda memiliki pertanyaan, pengetahuan saya berkisar dari segala sesuatu yang berhubungan dengan sistem operasi Windows serta Android untuk ponsel. Dan komitmen saya adalah kepada Anda, saya selalu bersedia meluangkan beberapa menit dan membantu Anda menyelesaikan pertanyaan apa pun yang mungkin Anda miliki di dunia internet ini.