- ອີເມວທີ່ປອມຕົວເປັນຫ້ອງການໄອຍະການໃນປະເທດໂຄລໍາເບຍແຈກຢາຍໄຟລ໌ແນບ SVG ເປັນການຫຼອກລວງ.
- ໄຟລ໌ "Custom" ຕໍ່ຜູ້ຖືກເຄາະຮ້າຍ, ອັດຕະໂນມັດ, ແລະຫຼັກຖານຂອງ AI ໃຊ້ການກວດສອບທີ່ສັບສົນ.
- ລະບົບຕ່ອງໂສ້ການຕິດເຊື້ອສິ້ນສຸດລົງໂດຍການຕິດຕັ້ງ AsyncRAT ຜ່ານ DLL sideloading.
- 44 SVGs ທີ່ບໍ່ຊ້ໍາກັນແລະຫຼາຍກວ່າ 500 ປອມໄດ້ຖືກພົບເຫັນນັບຕັ້ງແຕ່ເດືອນສິງຫາ, ມີການກວດພົບເບື້ອງຕົ້ນຕໍ່າ.
ໃນອາເມລິກາລາຕິນໄດ້ມີ ຄື້ນຂອງການໂຄສະນາທີ່ເປັນອັນຕະລາຍກັບໂຄລໍາເບຍເປັນຈຸດສູນກາງ, ບ່ອນທີ່ອີເມລ໌ປະກົດວ່າມາຈາກອົງການຈັດຕັ້ງທາງການແຈກຢາຍໄຟລ໌ທີ່ຜິດປົກກະຕິເພື່ອຕິດເຊື້ອຄອມພິວເຕີ.
ສຽງແຄນແມ່ນຄືກັນກັບສະ ເໝີ ໄປ -ວິສະວະກໍາສັງຄົມທີ່ມີສານຜິດຫຼືການຟ້ອງຮ້ອງ—, ແຕ່ວິທີການຈັດສົ່ງໄດ້ກ້າວໄປຂ້າງຫນ້າ: ໄຟລ໌ແນບ SVG ທີ່ມີເຫດຜົນຝັງ, ແມ່ແບບອັດຕະໂນມັດ, ແລະສັນຍານທີ່ຊີ້ໃຫ້ເຫັນເຖິງຂະບວນການຊ່ວຍເຫຼືອ AI.
ການປະຕິບັດງານແນໃສ່ຜູ້ໃຊ້ໃນໂຄລໍາເບຍ
ຂໍ້ຄວາມປອມຕົວ ໜ່ວຍງານເຊັ່ນ: ຫ້ອງການໄອຍະການ ແລະລວມເອົາໄຟລ໌ .svg ທີ່ມີຂະໜາດ—ມັກຈະເກີນ 10 MB—ຄວນຈະເຮັດໃຫ້ເກີດຄວາມສົງໃສແລ້ວ. ເມື່ອທ່ານເປີດມັນ, ແທນທີ່ຈະເປັນເອກະສານທີ່ຖືກຕ້ອງ, ທ່ານຈະເຫັນ a ການໂຕ້ຕອບທີ່ຈໍາລອງຂັ້ນຕອນທາງການ ດ້ວຍແຖບຄວາມຄືບໜ້າ ແລະການກວດສອບທີ່ຄາດໄວ້.
ຫຼັງຈາກສອງສາມວິນາທີ, ຕົວທ່ອງເວັບຂອງມັນເອງຈະຊ່ວຍປະຢັດ a ZIP ປ້ອງກັນລະຫັດຜ່ານ, ສະແດງໃຫ້ເຫັນຢ່າງຊັດເຈນພາຍໃນເອກະສານດຽວກັນ, ເສີມສ້າງຂັ້ນຕອນຂອງຂັ້ນຕອນ "ຢ່າງເປັນທາງການ". ໃນຫນຶ່ງໃນຕົວຢ່າງທີ່ວິເຄາະ (SHA-1: 0AA1D24F40EEC02B26A12FBE2250CAB1C9F7B958), ການແກ້ໄຂຄວາມປອດໄພ ESET ໄດ້ກໍານົດມັນເປັນ JS/TrojanDropper.Agent.PSJ.
ການຂົນສົ່ງແມ່ນບໍ່ໃຫຍ່ຫຼວງດ້ວຍການຄັດຕິດດຽວ: ຜູ້ຮັບແຕ່ລະຄົນໄດ້ຮັບ SVG ທີ່ແຕກຕ່າງກັນ, ດ້ວຍຂໍ້ມູນແບບສຸ່ມທີ່ເຮັດໃຫ້ມັນເປັນເອກະລັກ. "polymorphism" ນີ້ເຮັດໃຫ້ທັງການກັ່ນຕອງອັດຕະໂນມັດແລະການເຮັດວຽກຂອງນັກວິເຄາະມີຄວາມຫຍຸ້ງຍາກ.
Telemetries ສະແດງໃຫ້ເຫັນ ກິດຈະກໍາກາງອາທິດສູງສຸດໃນລະຫວ່າງເດືອນສິງຫາ, ໂດຍມີກໍລະນີທີ່ສູງຂຶ້ນໃນບັນດາຜູ້ໃຊ້ທີ່ຢູ່ໃນໂຄລໍາເບຍ, ແນະນໍາແຄມເປນແບບຍືນຍົງເພື່ອແນໃສ່ປະເທດນັ້ນ.
ບົດບາດຂອງໄຟລ໌ SVG ແລະການຫຼອກລວງ
SVG ເປັນ ຮູບແບບຮູບພາບ vector ທີ່ອີງໃສ່ XML. ຄວາມຍືດຫຍຸ່ນນີ້ - ຂໍ້ຄວາມ, ຮູບແບບ, ແລະສະຄິບພາຍໃນໄຟລ໌ດຽວກັນ - ອະນຸຍາດໃຫ້ຜູ້ໂຈມຕີລວມເອົາ ລະຫັດແລະຂໍ້ມູນທີ່ເຊື່ອງໄວ້ ໂດຍບໍ່ຈໍາເປັນຕ້ອງມີຊັບພະຍາກອນພາຍນອກທີ່ເຫັນໄດ້, ເຕັກນິກທີ່ເອີ້ນວ່າ "ການລັກລອບ SVG" ແລະບັນທຶກໄວ້ໃນ MITER ATT&CK.
ໃນແຄມເປນນີ້, ການຫຼອກລວງໄດ້ຖືກປະຕິບັດພາຍໃນ SVG ຕົວຂອງມັນເອງ: ໜ້າຂໍ້ມູນປອມຖືກສະແດງ ດ້ວຍການຄວບຄຸມແລະຂໍ້ຄວາມທີ່, ເມື່ອສໍາເລັດ, ເຮັດໃຫ້ຕົວທ່ອງເວັບບັນທຶກຊຸດ ZIP ທີ່ມີການປະຕິບັດທີ່ເລີ່ມຕົ້ນຂັ້ນຕອນຕໍ່ໄປຂອງການຕິດເຊື້ອ.
ເມື່ອຜູ້ຖືກເຄາະຮ້າຍປະຕິບັດເນື້ອຫາທີ່ດາວໂຫລດ, ລະບົບຕ່ອງໂສ້ກ້າວຫນ້າ DLL sideloading: ໄບນາຣີທີ່ຖືກຕ້ອງຕາມກົດໝາຍຈະໂຫຼດຫ້ອງສະໝຸດທີ່ສ້າງຂຶ້ນໂດຍບໍ່ຮູ້ຕົວ ແລະອະນຸຍາດໃຫ້ຜູ້ໂຈມຕີສືບຕໍ່ບຸກລຸກໄດ້.
ເປົ້າຫມາຍສຸດທ້າຍແມ່ນການຕິດຕັ້ງ AsyncRAT, Trojan ການເຂົ້າເຖິງຫ່າງໄກສອກຫຼີກທີ່ສາມາດສໍາລັບການ keylogging, exfiltration ໄຟລ໌, capture ຫນ້າຈໍ, ຄວບຄຸມກ້ອງຖ່າຍຮູບ ແລະໄມໂຄຣໂຟນ ແລະລັກຂໍ້ມູນປະຈໍາຕົວທີ່ເກັບໄວ້ໃນຕົວທ່ອງເວັບ.
ອັດຕະໂນມັດແລະຮອຍຕີນ AI ໃນແມ່ແບບ
ເຄື່ອງຫມາຍຂອງ SVGs ທີ່ວິເຄາະໄດ້ເປີດເຜີຍ ປະໂຫຍກທົ່ວໄປ, ຊ່ອງຂໍ້ມູນການຈັດວາງຫວ່າງເປົ່າ, ແລະຫ້ອງຮຽນອະທິບາຍຫຼາຍເກີນໄປ, ນອກເຫນືອໄປຈາກການທົດແທນທີ່ໂດດເດັ່ນ - ເຊັ່ນ: ສັນຍາລັກທີ່ເປັນທາງການໂດຍ emojis— ວ່າບໍ່ມີປະຕູທີ່ແທ້ຈິງຈະໃຊ້.
ຍັງມີລະຫັດຜ່ານທີ່ຊັດເຈນແລະສົມມຸດວ່າ "hash ການກວດສອບ" ນັ້ນ ພວກມັນບໍ່ມີຫຍັງຫຼາຍກວ່າສາຍ MD5 ໂດຍບໍ່ມີຄວາມຖືກຕ້ອງໃນການປະຕິບັດ. ທຸກສິ່ງທຸກຢ່າງຊີ້ໃຫ້ເຫັນເຖິງຊຸດ prefabricated ຫຼື ແມ່ແບບທີ່ສ້າງຂຶ້ນໂດຍອັດຕະໂນມັດ ເພື່ອຜະລິດໄຟລ໌ແນບເປັນຊຸດດ້ວຍຄວາມພະຍາຍາມຂອງມະນຸດຫນ້ອຍທີ່ສຸດ.
ຕົວເລກການຫຼົບຫຼີກ ແລະການໂຄສະນາຫາສຽງ
ເວທີການແບ່ງປັນຕົວຢ່າງໄດ້ນັບຢ່າງຫນ້ອຍ 44 SVGs ເປັນເອກະລັກ ພະນັກງານໃນການດໍາເນີນງານແລະຫຼາຍກ່ວາ 500 ວັດຖຸບູຮານທີ່ກ່ຽວຂ້ອງຕັ້ງແຕ່ກາງເດືອນສິງຫາຮຸ່ນທໍາອິດແມ່ນຫນັກ - ປະມານ 25 MB - ແລະຖືກ "ປັບ" ຕາມເວລາ.
ເພື່ອຫຼີກເວັ້ນການຄວບຄຸມ, ຕົວຢ່າງການນໍາໃຊ້ obfuscation, polymorphism, ແລະຈໍານວນຂະຫນາດໃຫຍ່ຂອງລະຫັດ bloat ທີ່ສັບສົນການວິເຄາະສະຖິດ, ເຊິ່ງສົ່ງຜົນໃຫ້ ການກວດຫາເບື້ອງຕົ້ນຕໍ່າ ໂດຍເຄື່ອງຈັກຫຼາຍອັນ.
ການນໍາໃຊ້ຂອງ ເຄື່ອງໝາຍແອສປາໂຍນພາຍໃນ XML ແລະຮູບແບບຊ້ໍາຊ້ອນໄດ້ອະນຸຍາດໃຫ້ນັກຄົ້ນຄວ້າສ້າງກົດລະບຽບການລ່າສັດແລະລາຍເຊັນທີ່, ນໍາໃຊ້ຄືນຫລັງ, ເຊື່ອມຕໍ່ການຂົນສົ່ງຫຼາຍຮ້ອຍກັບແຄມເປນດຽວກັນ.
ເປັນ vector ທີສອງ: ໄຟລ໌ SWF ລວມ
ໃນຂະຫນານ, ມັນໄດ້ຖືກສັງເກດເຫັນ ໄຟລ໌ SWF ປອມຕົວເປັນ minigames 3D, ດ້ວຍໂມດູນ ActionScript ແລະ AES routines ທີ່ປະສົມເຫດຜົນທີ່ເປັນປະໂຫຍດກັບອົງປະກອບ opaque; ຍຸດທະວິທີນັ້ນ ເພີ່ມເກນ heuristic ແລະຊັກຊ້າການຈັດປະເພດຂອງເຂົາເຈົ້າວ່າເປັນອັນຕະລາຍ.
El SWF+SVG duo ປະຕິບັດເປັນ ຂົວລະຫວ່າງມໍລະດົກແລະຮູບແບບທີ່ທັນສະໄຫມ: ໃນຂະນະທີ່ SWF ກໍາລັງສັບສົນເຄື່ອງຈັກ, ໄດ້ SVG ໄດ້ໃສ່ໜ້າ phishing HTML ທີ່ເຂົ້າລະຫັດແລ້ວ ແລະປະໄວ້ ZIP ເພີ່ມເຕີມທີ່ບໍ່ມີການໂຕ້ຕອບຂອງຜູ້ໃຊ້ນອກເຫນືອຈາກການຄລິກເບື້ອງຕົ້ນ.
ການປະສົມປະສານຂອງ ຕົວຢ່າງສ່ວນບຸກຄົນຕໍ່ຜູ້ຖືກເຄາະຮ້າຍ, ໄຟລ໌ bulky ແລະເຕັກນິກການ smuggling ອະທິບາຍວ່າ ການກັ່ນຕອງໂດຍອີງໃສ່ຊື່ສຽງຫຼືຮູບແບບທີ່ງ່າຍດາຍ ບໍ່ໄດ້ຢຸດການແຜ່ກະຈາຍຢູ່ໃນຄື້ນທໍາອິດ.
ສິ່ງທີ່ຄົ້ນພົບເຫຼົ່ານີ້ແມ່ນການດໍາເນີນການທີ່ ໃຊ້ປະໂຫຍດຢ່າງເຕັມທີ່ຂອງຮູບແບບ SVG ເພື່ອປອມຕົວເປັນອົງການຈັດຕັ້ງຂອງໂຄລໍາເບຍ, ອັດຕະໂນມັດການສ້າງໄຟລ໌ແນບແລະສິ້ນສຸດດ້ວຍ AsyncRAT ຜ່ານ DLL sideloading. ເມື່ອປະເຊີນກັບອີເມລ໌ "subpoena" ທີ່ປະກອບມີໄຟລ໌ .svg ຫຼືລະຫັດຜ່ານທີ່ຊັດເຈນ, ມັນສະຫລາດທີ່ຈະສົງໃສແລະ ຢືນຢັນຜ່ານຊ່ອງທາງທີ່ເປັນທາງການ ກ່ອນທີ່ຈະເປີດຫຍັງ.
ຂ້ອຍເປັນນັກເທັກໂນໂລຍີທີ່ກະຕືລືລົ້ນທີ່ໄດ້ຫັນຄວາມສົນໃຈ "geek" ຂອງລາວໄປສູ່ອາຊີບ. ຂ້າພະເຈົ້າໄດ້ໃຊ້ເວລາຫຼາຍກ່ວາ 10 ປີຂອງຊີວິດຂອງຂ້າພະເຈົ້າໂດຍການນໍາໃຊ້ເຕັກໂນໂລຊີທີ່ທັນສະໄຫມແລະ tinkering ກັບທຸກປະເພດຂອງໂຄງການອອກຈາກ curiosity ອັນບໍລິສຸດ. ຕອນນີ້ຂ້ອຍມີຄວາມຊ່ຽວຊານດ້ານເທັກໂນໂລຍີຄອມພິວເຕີ ແລະເກມວີດີໂອ. ນີ້ແມ່ນຍ້ອນວ່າຫຼາຍກວ່າ 5 ປີທີ່ຂ້ອຍໄດ້ຂຽນສໍາລັບເວັບໄຊທ໌ຕ່າງໆກ່ຽວກັບເຕັກໂນໂລຢີແລະວິດີໂອເກມ, ການສ້າງບົດຄວາມທີ່ຊອກຫາເພື່ອໃຫ້ທ່ານມີຂໍ້ມູນທີ່ທ່ານຕ້ອງການໃນພາສາທີ່ທຸກຄົນເຂົ້າໃຈໄດ້.
ຖ້າທ່ານມີຄໍາຖາມໃດໆ, ຄວາມຮູ້ຂອງຂ້ອຍແມ່ນມາຈາກທຸກສິ່ງທຸກຢ່າງທີ່ກ່ຽວຂ້ອງກັບລະບົບປະຕິບັດການ Windows ເຊັ່ນດຽວກັນກັບ Android ສໍາລັບໂທລະສັບມືຖື. ແລະຄໍາຫມັ້ນສັນຍາຂອງຂ້າພະເຈົ້າແມ່ນກັບທ່ານ, ຂ້າພະເຈົ້າສະເຫມີເຕັມໃຈທີ່ຈະໃຊ້ເວລາສອງສາມນາທີແລະຊ່ວຍທ່ານແກ້ໄຂຄໍາຖາມໃດໆທີ່ທ່ານອາດຈະມີຢູ່ໃນໂລກອິນເຕີເນັດນີ້.