- Колумбиядагы Башкы прокуратуранын атын жамынган электрондук каттар SVG тиркемелерин алдамчы катары таратат.
- Жабырлануучуга ар бир "ыңгайлаштырылган" файлдар, автоматташтыруу жана AI колдонуунун далилдери аныктоону кыйындатат.
- Инфекция чынжыр DLL каптал жүктөө аркылуу AsyncRATти жайылтуу менен аяктайт.
- Август айынан бери 44 уникалдуу SVG жана 500дөн ашык артефакттар көрүлдү, алардын алгачкы аныктоосу төмөн.
Латын Америкасында болгон эпицентри Колумбия болгон зыяндуу кампаниялардын толкуну, бул жерде расмий уюмдардан келген электрондук почталар адаттан тыш файлдарды таркатып, компьютерлерди жугузат.
Илмек ар дайымкыдай эле -жалган чакыруу же доо арыздар менен коомдук инженерия—, бирок жеткирүү ыкмасы алдыга секирик жасады: SVG тиркемелери кыналган логикасы, автоматташтырылган калыптары жана AI жардамындагы процесстерди көрсөткөн сигналдар.
Колумбиядагы колдонуучуларга багытталган операция
Билдирүүлөрдүн образы Башкы прокуратура сыяктуу мекемелер жана .svg файлын камтыңыз, анын өлчөмү (көбүнчө 10 МБдан ашат) буга чейин эле шектенүү жаратышы керек. Аны ачканда мыйзамдуу документтин ордуна а расмий процедураларды окшоштурган интерфейс прогресс тилкелери жана болжолдуу текшерүүлөр менен.
Бир нече секунддан кийин браузер өзү сактайт Сырсөз менен корголгон ZIP, "расмий" жол-жобосун сахналаштырууну күчөтүү, ошол эле файлдын ичинде так көрсөтүлгөн. Анализге алынган үлгүлөрдүн биринде (SHA-1: 0AA1D24F40EEC02B26A12FBE2250CAB1C9F7B958), ESET коопсуздук чечимдери аны аныктады JS/TrojanDropper.Agent.PSJ.
Бир тиркеме менен жөнөтүү массалык эмес: Ар бир алуучу ар кандай SVG алат, аны уникалдуу кылган кокус маалыматтар менен. Бул "полиморфизм" автоматташтырылган чыпкалоону да, аналитиктердин ишин да кыйындатат.
Телеметриялык керсетуу жуманын ортосунда активдүүлүктүн туу чокусу август айында болот, Колумбияда жайгашкан колдонуучулардын арасында жогорку инцидент менен, ал өлкөгө багытталган туруктуу кампанияны сунуштайт.
SVG файлынын ролу жана контрабандалык трюк
SVG бул а XML негизиндеги вектордук сүрөт форматы. Бул ийкемдүүлүк - бир эле файлдын ичиндеги текст, стилдер жана скрипттер - чабуулчуларга жашыруун код жана маалыматтар көзгө көрүнгөн тышкы ресурстарды талап кылбастан, "SVG контрабанда" деп аталган жана MITER ATT&CK документтештирилген ыкма.
Бул кампанияда алдамчылык SVG ичинде ишке ашырылат: жалган маалымат баракчасы көрсөтүлөт башкаруу элементтери жана билдирүүлөр менен, алар аяктагандан кийин, браузер инфекциянын кийинки кадамын баштаган аткарылуучу файл менен ZIP пакетин сактап калат.
Жабырлануучу жүктөлгөн мазмунду аткаргандан кийин, чынжыр аркылуу илгерилет DLL каптал жүктөө: Мыйзамдуу экилик билинбей туруп жасалган китепкананы жүктөйт, ал байкалбай калат жана чабуулчуга интрузияны улантууга мүмкүндүк берет.
түпкү максаты орнотуу болуп саналат AsyncRAT, алыстан кирүү трояны клавиштерди жазууга, файлдарды эксфильтрациялоого, экранды тартууга, камера жана микрофонду башкаруу жана браузерлерде сакталган эсептик дайындарды уурдашат.
Калыптардагы автоматташтыруу жана AI издери
Анализге алынган SVGs белгилөө ачып берет Жалпы сөз айкаштары, бош макет талаалары жана ашыкча сүрөттөмө класстар, иш таштай турган алмаштыруу-лардан тышкары эмодзилер менен расмий белгилер— эч кандай реалдуу портал колдонбойт.
Ошондой эле так сырсөздөр жана болжолдуу "текшерүү хэштери" бар Алар MD5 саптарынан башка эч нерсе эмес практикалык негизи жок. Бардыгы даярдалган комплекттерге же автоматтык түрдө түзүлгөн калыптар минималдуу адам күч менен катар тиркемелерди чыгаруу.
Качуунун жана үгүт өнөктүгүнүн номерлери
Үлгү бөлүшүү платформалары жок дегенде эсептелген 44 уникалдуу SVG операциядагы кызматкерлер жана андан ашык Августтун ортосунан бери 500 тиешелүү экспонаттарБиринчи варианттар оор болгон — болжол менен 25 МБ — жана убакыттын өтүшү менен «түзүлгөн».
Башкаруудан качуу үчүн үлгүлөр колдонулат бүдөмүк, полиморфизм жана чоң көлөмдөгү шишик коду Бул статикалык анализди чаташтырат, натыйжада баштапкы аныктоо төмөн бир нече кыймылдаткычтар менен.
колдонуу XML ичиндеги испан маркерлери жана кайталанган үлгүлөр изилдөөчүлөргө аңчылык эрежелерин жана кол тамгаларды түзүүгө мүмкүндүк берди, алар ретроспективдүү түрдө колдонулуп, жүздөгөн жүктөрдү бир эле кампанияга байланыштырды.
Экинчи вектор: бириктирилген SWF файлдары
Буга катарлаш байкалган SWF файлдары 3D мини-оюндары катары жашырылган, функционалдык логиканы тунук эмес компоненттер менен аралаштырган ActionScript модулдары жана AES процедуралары менен; тактика ошол эвристикалык босоголорду жогорулатат жана аларды зыяндуу катары классификациялоону кечеңдетет.
El SWF+SVG дуэти аткарылды мурас менен заманбап форматтардын ортосундагы көпүрө: SWF кыймылдаткычтарды чаташтырып жатканда, SVG коддолгон HTML фишинг барагын киргизди жана баштапкы чыкылдатуудан тышкары колдонуучунун өз ара аракети жок кошумча ZIP калтырды.
айкалыштыруу ар бир жабырлануучуга жекелештирилген үлгүлөр, көлөмдүү файлдар жана контрабанда ыкмаларын түшүндүрөт репутацияга же жөнөкөй үлгүлөргө негизделген чыпкалар биринчи толкундарда жайылышын токтото элек.
Бул табылгалар бир операция болуп саналат Колумбиялык уюмдарды көрсөтүү үчүн SVG форматынын бардык мүмкүнчүлүктөрүн колдонуңуз, тиркемелерди түзүүнү автоматташтырат жана DLL каптал жүктөө аркылуу AsyncRAT менен аяктайт. .svg файлын же ачык сырсөздөрдү камтыган кандайдыр бир "чакырык" электрондук почтасына туш болгондо, шектүү жана расмий каналдар аркылуу текшерүү эч нерсе ачардан мурун.
Мен өзүмдүн «геек» кызыкчылыктарын кесипке айландырган технология ышкыбозумун. Өмүрүмдүн 10 жылдан ашуунун эң алдыңкы технологияларды колдонууга жана ар кандай программалар менен иштөөгө жумшадым. Азыр мен компьютердик технологиялар жана видео оюндар боюнча адистешкен. Себеби, мен 5 жылдан ашык убакыттан бери технология жана видео оюндар боюнча ар кандай веб-сайттарга жазып, сизге керектүү маалыматты баарына түшүнүктүү тилде берүүгө умтулган макалаларды түзүп келем.
Эгерде сизде кандайдыр бир суроолор болсо, менин билимим Windows операциялык тутумуна, ошондой эле уюлдук телефондор үчүн Android менен байланыштуу. Жана менин милдеттенмем сизге, мен ар дайым бир нече мүнөт бөлүп, бул интернет дүйнөсүндө сизди кызыктырган бардык суроолорду чечүүгө жардам берүүгө даярмын.