- E-mailurile care se dau drept Procurorul General din Columbia distribuie atașamente SVG ca momeală.
- Fișierele „personalizate” pentru fiecare victimă, automatizarea și dovezile utilizării inteligenței artificiale complică detectarea.
- Lanțul de infecție se încheie prin implementarea AsyncRAT prin încărcarea laterală a DLL-urilor.
- 44 de SVG-uri unice și peste 500 de artefacte au fost observate din august, cu o rată de detectare inițială scăzută.
În America Latină a existat o val de campanii rău intenționate cu Columbia ca epicentru, unde e-mailurile care par să provină de la organizații oficiale distribuie fișiere neobișnuite pentru a infecta computerele.
Cârligul este același ca întotdeauna —inginerie socială cu citații sau procese false—, dar metoda de livrare a făcut un salt înainte: Atașamente SVG cu logică încorporată, șabloane automate și semnale care indică procese asistate de inteligență artificială.
O operațiune care vizează utilizatorii din Columbia
Mesajele se împotmolesc entități precum Biroul Procurorului General și includeți un fișier .svg a cărui dimensiune - adesea depășind 10 MB - ar trebui deja să stârnească suspiciuni. Când îl deschideți, în loc de un document legitim, vedeți un interfață care simulează procedurile oficiale cu bare de progres și presupuse verificări.
După câteva secunde, browserul însuși salvează o Cod poștal protejat prin parolă, prezentată clar în același fișier, întărind etaparea unei proceduri „formale”. Într-una dintre mostrele analizate (SHA-1: 0AA1D24F40EEC02B26A12FBE2250CAB1C9F7B958), Soluțiile de securitate ESET l-au identificat ca fiind JS/TrojanDropper.Agent.PSJ.
Transportul nu este masiv, având un singur atașament: Fiecare destinatar primește un SVG diferit, cu date aleatorii care îl fac unic. Acest „polimorfism” îngreunează atât filtrarea automată, cât și munca analiștilor.
Telemetrii arată Activitatea la mijlocul săptămânii este la vârf în luna august, cu o incidență mai mare în rândul utilizatorilor din Columbia, ceea ce sugerează o campanie susținută care vizează acea țară.
Rolul fișierului SVG și trucul de contrabandă
Un SVG este un Format de imagine vectorială bazat pe XMLAceastă flexibilitate — text, stiluri și scripturi în cadrul aceluiași fișier — permite atacatorilor să încorporeze cod și date ascunse fără a fi nevoie de resurse externe vizibile, o tehnică cunoscută sub numele de „contrabandă SVG” și documentată în MITRE ATT&CK.
În această campanie, înșelăciunea este executată chiar în SVG: este afișată o pagină de informații false cu controale și mesaje care, la finalizare, determină browserul să salveze un pachet ZIP cu un executabil care inițiază următorul pas al infecției.
Odată ce victima execută conținutul descărcat, lanțul avansează prin Încărcare laterală DLLUn fișier binar legitim încarcă fără să știe o bibliotecă creată special, care trece nedetectată și permite atacatorului să continue intruziunea.
Scopul final este de a instala AsyncRAT, un troian cu acces la distanță capabil de keylogging, exfiltrare de fișiere, captură de ecran, controlează camera și microfonul și fură acreditările stocate în browsere.
Automatizare și amprente de inteligență artificială în șabloane
Marcajul SVG-urilor analizate relevă Expresii generice, câmpuri de aspect goale și clase excesiv descriptive, pe lângă înlocuiri izbitoare — cum ar fi simboluri oficiale prin emoji-uri— pe care niciun portal real nu le-ar folosi.
Există, de asemenea, parole clare și presupuse „hash-uri de verificare” care Nu sunt nimic mai mult decât șiruri MD5 fără validitate practică. Totul indică spre kituri prefabricate sau șabloane generate automat pentru a produce atașamente în serie cu efort uman minim.
Numerele de evaziune și de campanie
Platformele de partajare a mostrelor au numărat cel puțin 44 de fișiere SVG unice angajați din cadrul operațiunii și mai mult de 500 de artefacte conexe de la mijlocul lunii augustPrimele variante erau grele - în jur de 25 MB - și au fost „ajustate” în timp.
Pentru a evita controalele, probele folosesc ofuscare, polimorfism și cantități mari de cod supradimensionat care confundă analiza statică, ceea ce a dus la detecție inițială scăzută de mai multe motoare.
Utilizarea Marcatori spanioli în XML iar modelele repetate le-au permis cercetătorilor să creeze reguli și semnături de vânătoare care, aplicate retrospectiv, au legat sute de transporturi de aceeași campanie.
Un al doilea vector: fișiere SWF combinate
În paralel, s-a observat Fișiere SWF deghizate în minijocuri 3D, cu module ActionScript și rutine AES care combinau logica funcțională cu componente opace; o tactică care ridică pragurile euristice și întârzie clasificarea lor ca fiind rău intenționate.
El Duo-ul SWF+SVG a interpretat rolul punte între formatele tradiționale și cele moderneÎn timp ce SWF-ul încurca motoarele, SVG a injectat o pagină de phishing HTML codificată și a lăsat un cod poștal suplimentar fără nicio interacțiune a utilizatorului dincolo de clicul inițial.
Combinația dintre mostre personalizate pentru fiecare victimă, fișierele voluminoase și tehnicile de contrabandă explică faptul că filtre bazate pe reputație sau pe modele simple nu au oprit răspândirea în primele valuri.
Ceea ce scot la iveală aceste descoperiri este o operațiune care Profitați din plin de formatul SVG pentru a vă da drept organizații columbiene, automatizează crearea de atașamente și culminează cu AsyncRAT prin încărcarea laterală a DLL-urilor. Atunci când vă confruntați cu orice e-mail de tip „citație” care include un fișier .svg sau parole clare, este înțelept să fiți suspicioși și validarea prin canale oficiale înainte de a deschide orice.
Sunt un pasionat de tehnologie care și-a transformat interesele de „tocilar” într-o profesie. Mi-am petrecut mai bine de 10 ani din viața mea folosind tehnologie de ultimă oră și mânuind cu tot felul de programe din pură curiozitate. Acum m-am specializat în tehnologie computerizată și jocuri video. Asta pentru că de mai bine de 5 ani scriu pentru diverse site-uri web despre tehnologie și jocuri video, creând articole care urmăresc să-ți ofere informațiile de care ai nevoie într-un limbaj pe care oricine este pe înțeles.
Dacă aveți întrebări, cunoștințele mele variază de la tot ce ține de sistemul de operare Windows, precum și Android pentru telefoane mobile. Și angajamentul meu este față de tine, sunt mereu dispus să petrec câteva minute și să te ajut să rezolvi orice întrebări pe care le poți avea în această lume a internetului.