- E-Maile, déi sech als Büro vum Generalprocureur a Kolumbien ausginn, verdeelen SVG-Uschlëss als Ofleeër.
- "Benotzerdefinéiert" Dateien pro Affer, Automatiséierung a Beweiser fir KI-Benotzung erschwéieren d'Detektioun.
- D'Infektiounskette endet andeems AsyncRAT iwwer DLL Sideloading deployéiert gëtt.
- 44 eenzegaarteg SVGs a méi wéi 500 Artefakte goufen zënter August observéiert, mat enger gerénger initialer Detektioun.
A Lateinamerika gouf et eng Well vu béiswëllege Kampagnen mat Kolumbien als Epizentrum, wou E-Maile, déi anscheinend vun offiziellen Organisatiounen kommen, ongewéinlech Dateien verdeelen, fir Computeren ze infizéieren.
Den Haken ass dee selwechten wéi ëmmer -sozial Ingenieurswiesen mat falschen Ufroen oder Prozesser—, awer d'Liwwermethod huet e Sprong no vir gemaach: SVG-Uschlëss mat agebetteter Logik, automatiséierte Schablounen a Signaler, déi op KI-gestëtzte Prozesser weisen.
Eng Operatioun, déi op Benotzer a Kolumbien abzielt
Messagen imitéieren Entitéiten ewéi d'Staatsanwaltschaft an eng .svg-Datei enthalen, där hir Gréisst - dacks méi wéi 10 MB - scho Verdacht erwecke sollt. Wann Dir se opmaacht, gesitt Dir amplaz vun engem legitimen Dokument eng Interface déi offiziell Prozedure simuléiert mat Fortschrëttsbalken a vermeintleche Verifizéierungen.
No e puer Sekonnen späichert de Browser selwer eng Passwuertgeschützte ZIP-Postleitzuel, kloer an der selwechter Datei gewisen, wat d'Etappéierung vun enger "formeller" Prozedur bestätegt. An enger vun den analyséierte Proben (SHA-1: 0AA1D24F40EEC02B26A12FBE2250CAB1C9F7B958), hunn d'ESET Sécherheetsléisungen et als identifizéiert JS/TrojanDropper.Agent.PSJ.
D'Liwwerung ass net massiv mat engem eenzegen Uschloss: All Empfänger kritt en aneren SVG, mat zoufällegen Donnéeën, déi et eenzegaarteg maachen. Dëse "Polymorphismus" mécht souwuel automatiséiert Filterung wéi och d'Aarbecht vun den Analysten schwéier.
Telemetrie weisen Aktivitéit Mëttwochs ass am August op hirem Héichpunkt, mat enger méi héijer Inzidenz bei Benotzer a Kolumbien, wat op eng laangfristeg Kampagne, déi sech op dëst Land riicht, hiweist.
D'Roll vun der SVG-Datei an den Schmuggeltrick
En SVG ass en XML-baséiert VektorbildformatDës Flexibilitéit – Text, Stiler a Skripter an der selwechter Datei – erlaabt et Attacker, ... verstoppte Code an Daten ouni de Besoin fir siichtbar extern Ressourcen, eng Technik déi als "SVG-Schmuggel" bekannt ass an am MITRE ATT&CK dokumentéiert ass.
An dëser Kampagne gëtt den Täuschungsmanöver am SVG selwer ausgefouert: eng gefälscht Informatiounssäit gëtt duergestallt mat Kontrollen a Messagen, déi, nom Ofschloss, de Browser dozou bréngen, e ZIP-Pak mat enger ausführbarer Datei ze späicheren, déi den nächste Schrëtt vun der Infektioun initiéiert.
Soubal d'Affer den erofgeluedenen Inhalt ausféiert, geet d'Kette weider duerch DLL SideloadingEng legitim Binärdatei lued onbewosst eng crafted Bibliothéik, déi net erkannt gëtt an et dem Ugräifer erlaabt, den Andräng weiderzeféieren.
Déi ultimativ Zilsetzung ass d'Installatioun AsyncRAT, en Trojan fir Fernzougrëff, deen Keylogging, Dateiexfiltratioun a Screenshots maache kann, Kamera a Mikrofon kontrolléieren a klauen Umeldungsinformatiounen, déi a Browser gespäichert sinn.
Automatiséierung an AI-Foussofdrock a Schablounen
De Markup vun den analyséierten SVGs weist Generesch Ausdréck, eidel Layoutfelder a Klassen, déi zevill beschreiwend sinn, zousätzlech zu opfällegen Ersatzdeeler – wéi z.B. offiziell Symboler duerch Emojis— déi kee richtege Portal benotze géif.
Et gëtt och kloer Passwierder a vermeintlech "Verifizéierungshashes", déi Si sinn näischt méi wéi MD5-Saiten ouni praktesch Validitéit. Alles weist op prefabrizéiert Bausatz oder automatesch generéiert Schablounen fir Uschlëss a Serie mat minimalem mënschlechen Effort ze produzéieren.
Ausweichung an Kampagnezuelen
Plattforme fir d'Sharing vu Beispiller hunn op d'mannst gezielt 44 eenzegaarteg SVGs Mataarbechter am Betrib a méi wéi 500 ähnlech Artefakte zënter Mëtt AugustDéi éischt Varianten ware schwéier – ongeféier 25 MB – a goufen am Laf vun der Zäit "ofgestëmmt".
Fir Kontrollen ze vermeiden, ginn d'Prouwe benotzt Verschleierung, Polymorphismus a grouss Quantitéiten u Bloatcode déi statesch Analysen duerchernee bréngen, wat zu niddreg initial Detektioun duerch verschidde Motoren.
D'Benotzung vu Spuenesch Markéierungen am XML an widderholl Mustere hunn et de Fuerscher erlaabt, Juegdregelen a Signaturen ze kreéieren, déi, retrospektiv ugewannt, Honnerte vu Liwwerunge mat der selwechter Kampagne verbonnen hunn.
En zweete Vektor: kombinéiert SWF-Dateien
Parallel gouf observéiert SWF-Dateien verkleed als 3D-Minispiller, mat ActionScript-Moduler an AES-Routinen, déi funktionell Logik mat opaken Komponenten gemëscht hunn; eng Taktik, déi erhéicht heuristesch Schwellen an verzögert hir Klassifikatioun als béiswëlleg.
El SWF+SVG Duo huet opgetrueden als Bréck tëscht traditionellen a modernen FormaterWärend d'SWF d'Motore verwirrt huet, huet den SVG huet eng kodéiert HTML Phishing-Säit agefouert an huet en zousätzleche ZIP ouni Benotzerinteraktioun iwwer dem éischte Klick eraus hannerlooss.
D'Kombinatioun vun personaliséiert Proben pro Affer, voluminös Dossieren a Schmuggeltechniken erkläert, datt den Filter baséiert op Ruff oder einfache Musteren hunn d'Verbreedung an den éischte Wellen net gestoppt.
Wat dës Erkenntnisser weisen, ass eng Operatioun, déi Notzt de SVG-Format voll aus, fir kolumbianesch Organisatiounen imitéieren ze kënnen., automatiséiert d'Erstelle vun Uschlëss a kulminéiert mat AsyncRAT iwwer DLL Sideloading. Wann Dir mat enger "Subpoena"-E-Mail konfrontéiert sidd, déi eng .svg-Datei oder kloer Passwierder enthält, ass et schlau, verdächteg ze sinn an iwwer offiziell Kanäl validéieren ier een eppes opmécht.
Ech sinn en Technologie-Enthusiast, deen seng "Geek" Interesse an e Beruff ëmgewandelt huet. Ech hu méi wéi 10 Joer vu mengem Liewen verbruecht mat modernste Technologie a mat all Zorte vu Programmer aus purer Virwëtzegkeet ze manipuléieren. Elo hunn ech op Computertechnologie a Videospiller spezialiséiert. Dëst ass well ech zënter méi wéi 5 Joer fir verschidde Websäiten iwwer Technologie a Videospiller geschriwwen hunn, Artikelen erstallt déi probéieren Iech d'Informatioun ze ginn déi Dir braucht an enger Sprooch déi jidderee verständlech ass.
Wann Dir Froen hutt, da läit mäi Wëssen vun allem wat mam Windows Betriebssystem verbonnen ass, souwéi Android fir Handyen. A mäi Engagement ass fir Iech, ech sinn ëmmer bereet e puer Minutten ze verbréngen an Iech ze hëllefen all Froen ze léisen déi Dir an dëser Internetwelt hutt.