- E-mails die zich voordoen als het kantoor van de procureur-generaal van Colombia, verspreiden SVG-bijlagen als lokaas.
- 'Aangepaste' bestanden per slachtoffer, automatisering en bewijs van AI-gebruik maken de detectie ingewikkelder.
- De infectieketen eindigt met de implementatie van AsyncRAT via DLL-sideloading.
- Sinds augustus zijn er 44 unieke SVG's en meer dan 500 artefacten gezien, met een lage initiële detectie.
In Latijns-Amerika is er een golf van kwaadaardige campagnes met Colombia als epicentrum, waarbij e-mails die afkomstig lijken te zijn van officiële organisaties, ongebruikelijke bestanden verspreiden om computers te infecteren.
De haak is hetzelfde als altijd:social engineering met valse dagvaardingen of rechtszaken—, maar de bezorgmethode heeft een sprong voorwaarts gemaakt: SVG-bijlagen met ingebedde logica, geautomatiseerde sjablonen en signalen die wijzen op door AI ondersteunde processen.
Een operatie gericht op gebruikers in Colombia
Berichten imiteren entiteiten zoals het kantoor van de procureur-generaal en voeg een .svg-bestand toe waarvan de grootte – vaak groter dan 10 MB – al argwaan zou moeten wekken. Wanneer u het opent, ziet u in plaats van een legitiem document een interface die officiële procedures simuleert met voortgangsbalken en veronderstelde verificaties.
Na een paar seconden slaat de browser zelf een Met wachtwoord beveiligde postcode, duidelijk weergegeven in hetzelfde bestand, wat de enscenering van een "formele" procedure versterkt. In een van de geanalyseerde monsters (SHA-1: 0AA1D24F40EEC02B26A12FBE2250CAB1C9F7B958), ESET-beveiligingsoplossingen identificeerden het als JS/TrojanDropper.Agent.PSJ.
De zending is niet enorm en bevat slechts één bijlage: Elke ontvanger ontvangt een ander SVG-bestand, met willekeurige gegevens die het uniek maken. Dit "polymorfisme" maakt zowel geautomatiseerde filtering als het werk van analisten lastig.
Telemetrie toont piek in de activiteit halverwege de week in augustus, met een hogere incidentie onder gebruikers in Colombia, wat duidt op een langdurige campagne die op dat land is gericht.
De rol van het SVG-bestand en de smokkeltruc
Een SVG is een XML-gebaseerd vectorafbeeldingsformaatDeze flexibiliteit – tekst, stijlen en scripts in hetzelfde bestand – stelt aanvallers in staat om verborgen code en gegevens zonder de noodzaak van zichtbare externe bronnen, een techniek die bekend staat als “SVG-smokkel” en gedocumenteerd in MITRE ATT&CK.
In deze campagne wordt de misleiding uitgevoerd binnen de SVG zelf: er wordt een nep-informatiepagina weergegeven met bedieningselementen en berichten die, na voltooiing, ervoor zorgen dat de browser een ZIP-pakket opslaat met een uitvoerbaar bestand dat de volgende stap van de infectie initieert.
Zodra het slachtoffer de gedownloade inhoud uitvoert, gaat de keten verder DLL-sideloading:Een legitiem binair bestand laadt onbewust een gemanipuleerde bibliotheek die onopgemerkt blijft en de aanvaller in staat stelt de inbraak voort te zetten.
Het uiteindelijke doel is om te installeren AsyncRAT, een Trojan voor toegang op afstand die keylogging, bestandsexfiltratie en schermopnamen kan uitvoeren, camera en microfoon bedienen en inloggegevens in browsers stelen.
Automatisering en AI-voetafdrukken in sjablonen
De markering van de geanalyseerde SVG's onthult Algemene zinnen, lege lay-outvelden en te beschrijvende klassen, naast opvallende vervangingen, zoals officiële symbolen door emoji's— die geen enkel echt portaal zou gebruiken.
Er zijn ook duidelijke wachtwoorden en zogenaamde ‘verificatiehashes’ die Het zijn niets meer dan MD5-snaren zonder praktische geldigheid. Alles wijst op geprefabriceerde kits of automatisch gegenereerde sjablonen om bijlagen in serie te produceren met minimale menselijke inspanning.
Ontwijkings- en campagnecijfers
Platformen voor het delen van monsters hebben ten minste 44 unieke SVG's werknemers in de operatie en meer dan 500 gerelateerde artefacten sinds half augustusDe eerste varianten waren zwaar – ongeveer 25 MB – en werden in de loop der tijd ‘bijgesteld’.
Om controles te vermijden, worden de monsters gebruikt verduistering, polymorfisme en grote hoeveelheden bloat-code die de statische analyse verwarren, wat resulteerde in lage initiële detectie door meerdere motoren.
Het gebruik van Spaanse markeringen binnen de XML en herhaalde patronen maakten het onderzoekers mogelijk jachtregels en handtekeningen te creëren die, wanneer achteraf toegepast, honderden zendingen aan dezelfde campagne konden koppelen.
Een tweede vector: gecombineerde SWF-bestanden
Tegelijkertijd werd waargenomen SWF-bestanden vermomd als 3D-minigames, met ActionScript-modules en AES-routines die functionele logica mengden met ondoorzichtige componenten; een tactiek die verhoogt heuristische drempels en vertraagt hun classificatie als kwaadaardig.
El SWF+SVG duo trad op als brug tussen traditionele en moderne formaten: Terwijl de SWF de engines in de war bracht, SVG heeft een gecodeerde HTML-phishingpagina geïnjecteerd en liet een extra ZIP achter zonder gebruikersinteractie na de eerste klik.
De combinatie van gepersonaliseerde monsters per slachtoffer, omvangrijke bestanden en smokkeltechnieken verklaren dat de filters op basis van reputatie of eenvoudige patronen hebben de verspreiding in de eerste golven niet kunnen stoppen.
Wat deze bevindingen opleveren is een operatie die Maak optimaal gebruik van het SVG-formaat om Colombiaanse organisaties te imiteren, automatiseert het aanmaken van bijlagen en culmineert in AsyncRAT via DLL-sideloading. Wanneer u een "dagvaarding"-e-mail ontvangt die een .svg-bestand of duidelijke wachtwoorden bevat, is het verstandig om achterdochtig te zijn en valideren via officiële kanalen voordat je iets openmaakt.
Ik ben een technologieliefhebber die van zijn 'nerd'-interesses zijn beroep heeft gemaakt. Ik heb meer dan 10 jaar van mijn leven doorgebracht met het gebruik van de allernieuwste technologie en het sleutelen aan allerlei programma's uit pure nieuwsgierigheid. Nu heb ik mij gespecialiseerd in computertechnologie en videogames. Dit komt omdat ik al meer dan vijf jaar voor verschillende websites over technologie en videogames schrijf en artikelen heb gemaakt die proberen u de informatie te geven die u nodig heeft in een taal die voor iedereen begrijpelijk is.
Als je vragen hebt, mijn kennis strekt zich uit van alles wat te maken heeft met het Windows-besturingssysteem tot Android voor mobiele telefoons. En mijn toewijding is aan jou, ik ben altijd bereid om een paar minuten te besteden en je te helpen bij het oplossen van eventuele vragen die je hebt in deze internetwereld.