- Е-пораките што се претставуваат како Канцеларијата на државниот обвинител во Колумбија дистрибуираат SVG прилози како мамки.
- „Прилагодените“ датотеки по жртва, автоматизацијата и доказите за употреба на вештачка интелигенција го комплицираат откривањето.
- Синџирот на инфекција завршува со распоредување на AsyncRAT преку странично вчитување на DLL.
- 44 уникатни SVG и над 500 артефакти се видени од август, со ниска почетна детекција.
Во Латинска Америка имало бран злонамерни кампањи со Колумбија како епицентар, каде што е-пораките што изгледаат како да доаѓаат од официјални организации дистрибуираат необични датотеки за да инфицираат компјутери.
Куката е иста како и секогаш —социјален инженеринг со лажни судски покани или тужби—, но методот на испорака направи скок напред: SVG прилози со вградена логика, автоматизирани шаблони и сигнали што укажуваат на процеси потпомогнати од вештачка интелигенција.
Операција насочена кон корисници во Колумбија
Пораките се лажат субјекти како што е Канцеларијата на државниот обвинител и да вклучи .svg датотека чија големина - честопати надминува 10 MB - веќе треба да предизвика сомнеж. Кога ќе ја отворите, наместо легитимен документ, ќе видите интерфејс што симулира официјални процедури со ленти за напредок и наводни проверки.
По неколку секунди, самиот прелистувач зачувува Поштенски код заштитен со лозинка, јасно прикажано во истата датотека, зајакнувајќи го постановувањето на „формална“ постапка. Во еден од анализираните примероци (SHA-1: 0AA1D24F40EEC02B26A12FBE2250CAB1C9F7B958), безбедносните решенија на ESET го идентификуваа како JS/TrojanDropper.Agent.PSJ.
Пратката не е огромна со еден прилог: Секој примател добива различен SVG, со случајни податоци што го прави уникатен. Овој „полиморфизам“ го отежнува и автоматизираното филтрирање и работата на аналитичарите.
Телеметријата покажува Врвот на активноста во средината на неделата е во август, со поголема инциденца кај корисниците лоцирани во Колумбија, што укажува на континуирана кампања насочена кон таа земја.
Улогата на SVG-датотеката и трикот за шверцување
SVG е Формат на векторска слика базиран на XMLОваа флексибилност - текст, стилови и скрипти во истата датотека - им овозможува на напаѓачите да инкорпорираат скриен код и податоци без потреба од видливи надворешни ресурси, техника позната како „шверц на SVG“ и документирана во MITRE ATT&CK.
Во оваа кампања, измамата се извршува во рамките на самиот SVG: прикажана е страница со лажни информации со контроли и пораки кои, по завршувањето, предизвикуваат прелистувачот да зачува ZIP пакет со извршна датотека што го иницира следниот чекор од инфекцијата.
Откако жртвата ќе ја изврши преземената содржина, синџирот напредува низ DLL странично вчитувањеЛегитимна бинарна датотека несвесно вчитува изработена библиотека која останува неоткриена и му дозволува на напаѓачот да продолжи со упадот.
Крајната цел е да се инсталира AsyncRAT, тројанец со далечински пристап способен за зачувување на тастатура, ексфилтрација на датотеки, снимање на екранот, контролирајте ја камерата и микрофонот и крадат акредитиви складирани во прелистувачите.
Автоматизација и отпечатоци од вештачка интелигенција во шаблони
Ознаката на анализираните SVG открива Општи фрази, празни полиња за распоред и премногу описни класи, покрај ударните замени - како на пример официјални симболи преку емотикони— што ниеден вистински портал не би го користел.
Исто така, постојат јасни лозинки и наводни „хешови за верификација“ кои Тие не се ништо повеќе од MD5 жици без практична важност. Сè укажува на префабрикувани комплети или автоматски генерирани шаблони да се произведуваат приврзоци во серија со минимален човечки напор.
Избегнување и бројки во кампањата
Платформите за споделување примероци избројале најмалку 44 уникатни SVG-ови вработени во работењето и повеќе од 500 поврзани артефакти од средината на августПрвите варијанти беа тешки - околу 25 MB - и беа „дотерувани“ со текот на времето.
За да се избегнат контролите, примероците користат замаглување, полиморфизам и големи количини на пренадуен код што ја збунуваат статичката анализа, што резултираше со ниска почетна детекција од неколку мотори.
Употреба на Шпански маркери во XML и повторувачките шеми им овозможија на истражувачите да создадат правила и потписи за лов кои, применети ретроспективно, поврзуваа стотици пратки со истата кампања.
Втор вектор: комбинирани SWF датотеки
Паралелно, беше забележано SWF датотеки маскирани како 3D мини игри, со ActionScript модули и AES рутини кои мешаа функционална логика со непроѕирни компоненти; тактика која ги зголемува евристичките прагови и го одложува нивното класифицирање како злонамерни.
El SWF+SVG дуото настапи како мост помеѓу старите и модерните форматиДодека SWF ги збунуваше моторите, SVG инјектира кодирана HTML фишинг страница и остави дополнителен ZIP-датотека без никаква интеракција со корисникот освен првичниот клик.
Комбинацијата на персонализирани примероци по жртва, гломазни досиеја и техники на шверцување објаснува дека филтри базирани на репутација или едноставни шеми не го запреа ширењето во првите бранови.
Она што го покажуваат овие наоди е операција која Искористете го максимално форматот SVG за да се претставите како колумбиски организации, го автоматизира креирањето на прилози и кулминира со AsyncRAT преку DLL вчитување од страна. Кога ќе се соочите со било каква е-пошта со „покана“ што содржи .svg датотека или чисти лозинки, мудро е да бидете сомничави и потврдете преку официјални канали пред да отворите било што.
Јас сум технолошки ентузијаст кој своите „гикови“ интереси ги претвори во професија. Поминав повеќе од 10 години од мојот живот користејќи најсовремена технологија и непречено со сите видови програми од чиста љубопитност. Сега сум специјализиран за компјутерска технологија и видео игри. Тоа е затоа што повеќе од 5 години пишувам за различни веб-локации за технологија и видео игри, создавајќи статии кои се обидуваат да ви ги дадат потребните информации на јазик што е разбирлив за секого.
Ако имате прашања, моето знаење се движи од се што е поврзано со оперативниот систем Виндоус како и Андроид за мобилни телефони. И мојата посветеност е кон вас, јас сум секогаш подготвен да потрошам неколку минути и да ви помогнам да ги решите сите прашања што може да ги имате во овој интернет свет.