- 冒充哥伦比亚总检察长办公室的电子邮件分发 SVG 附件作为诱饵。
- 每个受害者的“定制”文件、自动化和人工智能使用的证据使检测变得复杂。
- 感染链以通过 DLL 侧加载部署 AsyncRAT 而结束。
- 自 44 月份以来,已发现 500 个独特的 SVG 和超过 XNUMX 个文物,但初始检测量较低。
在拉丁美洲, 以哥伦比亚为中心的恶意攻击浪潮其中看似来自官方组织的电子邮件会分发不寻常的文件来感染计算机。
钩子一如既往——利用虚假传票或诉讼进行社会工程——但交付方式却有了飞跃: 带有嵌入式逻辑、自动化模板和指向 AI 辅助流程的信号的 SVG 附件.
针对哥伦比亚用户的行动
冒充消息 总检察长办公室等实体 并包含一个 .svg 文件,其大小通常超过 10 MB,这本身就应该引起怀疑。当你打开它时,你看到的不是合法文档,而是一个 模拟官方程序的界面 带有进度条和假定验证。
几秒钟后,浏览器会保存 密码保护的 ZIP 文件在同一文件中清晰地显示,强化了“正式”程序的阶段性。在其中一个分析的样本中(SHA-1: 0AA1D24F40EEC02B26A12FBE2250CAB1C9F7B958),ESET 安全解决方案将其识别为 JS/TrojanDropper.Agent.PSJ.
货物体积不大,只有一个附件: 每个收件人都会收到不同的 SVG,其随机数据使其独一无二。这种“多态性”使得自动过滤和分析师的工作都变得困难。
遥测显示 八月份周中活动高峰,在哥伦比亚的用户中发生率更高,这表明针对该国的攻击活动仍在持续进行。
SVG 文件的作用和走私技巧
SVG 是 基于 XML 的矢量图像格式。这种灵活性(文本、样式和脚本位于同一文件中)允许攻击者合并 隐藏代码和数据 无需可见的外部资源,这种技术被称为“SVG 走私”,并在 MITRE ATT&CK 中有记录。
在此活动中,欺骗是在 SVG 内部执行的: 呈现虚假信息页面 使用控件和消息,完成后,会导致浏览器保存一个带有可执行文件的 ZIP 包,该可执行文件会启动感染的下一步。
一旦受害者执行下载的内容,攻击链就会继续进行 DLL 侧载:合法二进制文件在不知情的情况下加载了未被发现的精心设计的库,并允许攻击者继续入侵。
最终目标是安装 异步RAT,一种能够记录键盘、文件泄露、屏幕截图的远程访问木马, 控制摄像头和麦克风 并窃取浏览器中存储的凭证。
模板中的自动化和人工智能足迹
分析的 SVG 标记显示 通用短语、空白布局字段和过度描述性的类别,除了引人注目的替换——例如 表情符号的官方符号— 真正的门户网站不会使用。
还有清晰的密码和所谓的“验证哈希”, 它们只不过是 MD5 字符串 没有实际有效性。一切都指向预制套件或 自动生成的模板 以最少的人力批量生产附件。
逃避和竞选数字
样本共享平台至少统计过 44 个独特的 SVG 员工在运营和超过 自 500 月中旬以来 XNUMX 件相关文物第一个变体很重——大约 25 MB——并且随着时间的推移而进行“调整”。
为了避免控制,样本使用 混淆、多态性和大量臃肿代码 混淆静态分析,导致 初始检测低 由多个引擎组成。
萨尔瓦多使用 XML 中的西班牙语标记 重复的模式使研究人员能够创建狩猎规则和特征,这些规则和特征经过回顾性应用,将数百批货物与同一次活动联系起来。
第二个向量:组合的 SWF 文件
与此同时, 伪装成 3D 迷你游戏的 SWF 文件,使用 ActionScript 模块和 AES 例程,将功能逻辑与不透明组件混合;这种策略 提高启发式阈值 并延迟将其归类为恶意.
El SWF+SVG 二人组表演 传统格式与现代格式之间的桥梁:虽然 SWF 让引擎感到困惑,但 SVG 注入了编码的 HTML 钓鱼页面 并留下了一个额外的 ZIP,除了初次点击之外没有用户交互。
的结合 每个受害者的个性化样本、庞大的文件和走私技术解释了 基于声誉或简单模式的过滤器 尚未阻止第一波疫情的蔓延。
这些发现表明 充分利用 SVG 格式冒充哥伦比亚组织,自动创建附件,并通过 DLL 侧载最终导致 AsyncRAT 的出现。当遇到任何包含 .svg 文件或明文密码的“传票”邮件时,保持警惕是明智之举。 通过官方渠道验证 在打开任何东西之前。
我是一名技术爱好者,已将自己的“极客”兴趣变成了职业。出于纯粹的好奇心,我花了 10 多年的时间使用尖端技术并修改各种程序。现在我专攻计算机技术和视频游戏。这是因为 5 年多来,我一直在为各种技术和视频游戏网站撰写文章,旨在以每个人都能理解的语言为您提供所需的信息。
如果您有任何疑问,我的知识范围涵盖与 Windows 操作系统以及手机 Android 相关的所有内容。我对您的承诺是,我总是愿意花几分钟帮助您解决在这个互联网世界中可能遇到的任何问题。