Când soluțiile care analizează fișiere au început să accepte imagini SVG în examinările lor automate, a ieșit la iveală o campanie de phishing ce imită portaluri ale sistemului judiciar din Columbia și distribuie malware ascuns. VirusTotal a detectat această operațiune după ce a introdus suport pentru SVG în funcționalitatea AI Code Insight, iar rezultatul ilustrează creativitatea actorilor rău-intenționați când exploatează formate aparent inofensive.
SVG, adică Scalable Vector Graphics, este un format pentru grafică vectorială în care liniile, formele și textul sunt exprimate prin cod text. La prima vedere pare doar o imagine, dar elementul foreignObject permite includerea de HTML, iar JavaScript-ul se poate executa imediat ce fișierul este deschis. Atacatorii au profitat de acest lucru: fișiere SVG care afișează portaluri false ce par parte din infrastructura judiciară columbiană, cu numere de dosar, token-uri de securitate și elemente vizuale menite să inducă încredere. Pe pagină apare o bară simulată de descărcare și, la final, utilizatorului i se cere să descarce un arhivă protejată prin parolă; parola este afișată pe aceeași pagină falsă.
VirusTotal a descoperit inițial un SVG care nu fusese prins de scanările antivirus obișnuite, dar a fost semnalat de AI Code Insight pentru că folosea JavaScript pentru a insera HTML și a imita un portal oficial. Analizele ulterioare au scos la iveală încă 523 de fișiere SVG încărcate anterior, parte din aceeași campanie și neidentificate de mecanismele convenționale. Acest fapt subliniază utilitatea analizelor automate asistate de AI: pot evidenția tehnici sau modele noi pe care regulile tradiționale le ratează.
Investigațiile au arătat că arhiva descărcată conține patru fișiere: un executabil legitim al browserului Comodo Dragon redenumit pentru a părea un document judiciar oficial, o bibliotecă DLL malițioasă și două fișiere criptate. Dacă utilizatorul rulează executabilul, DLL-ul este încărcat prin sideloading și permite instalarea de malware suplimentar pe sistem. E o metodă simplă, dar eficientă: folosești un program legitim, îl maschezi și permiți componentelor malițioase să se instaleze în tăcere.
VirusTotal evidențiază că integrarea suportului pentru SVG în AI Code Insight a fost crucială pentru detectarea acestei operațiuni. Funcția analizează probele încărcate folosind învățare automată și generează rezumate ale comportamentului suspect sau malițios, oferind context și economisind timp specialiștilor. Nu înlocuiește analiza umană, dar reduce zgomotul și concentrează atenția asupra elementelor relevante.
Aspectele tehnice ale acestui caz, utilizarea elementului foreignObject din SVG, afișarea de interfețe false, distribuirea unei arhive protejate prin parolă, prezența unui executabil legitim redenumit și a unei DLL malițioase, arată o tendință mai largă: formatele uzuale pentru conținut benign devin vehicule pentru atacuri din ce în ce mai sofisticate. Practic, rămâne esențial ca organizațiile și utilizatorii să trateze fișierele primite, inclusiv cele cu extensii aparent inofensive, cu prudență și să se bazeze pe soluții de detecție care combină semnături tradiționale cu analize comportamentale și suport AI.
VirusTotal menționează că AI Code Insight sprijină prioritizarea investigațiilor și furnizarea rapidă de context; nu oferă soluții miraculoase, ci un instrument complementar pentru identificarea campaniilor noi. Pentru utilizatorii obișnuiți, lecția e clară: chiar și o imagine poate ascunde o capcană, iar solicitările de descărcare sau execuție a fișierelor trebuie privite cu scepticism, mai ales când sunt însoțite de presiuni sau mesaje care par oficiale.
VirusTotal a identificat 523 de fișiere SVG din aceeași campanie, iar unul dintre elementele centrale este apelul la încredere prin imitarea unui portal judiciar. Ce măsuri concrete crezi că ar trebui luate de instituțiile publice pentru a împiedica folosirea identității lor în astfel de atacuri?
daaaa, si iarasi statul doarme. puneti macar un certificat digital serioz, nu chestii facute pe genunchi. verificați domeniile oficiale, puneți DMARC/SPF/DKIM ca lumea, educați angajatii pt phishing real, nu cursuri de 10 min. bannati uploadurile svg direct sau scanati-le cu sandboxuri care pot executa JS. si puneți o linie de raportare clara, usor de folosit. altfel o sa tot vedem fake-uri cu sigla si numar de dosar… cine raspunde? vezi sa nu.
asta e fain de știut dar și scary tbh. multe organizații încă nu blochează svg-urile la upload sau nu le scanează din punct de vedere html/js, deci e normal să apară abuzuri. instituțiile publice ar putea: obliga uploadurile pe siteuri oficiale să treacă prin sanitizare strictă (elimina foreignObject, script-uri), semnare digitală a documentelor oficiale ca să poți verifica ușor originea, educație simplă pentru public: “nu descărca arhive primite din pagini care par oficiale”, și logare multi-factor pt portale sensibile. plus: publicarea rapidă a listelor de domenii/șabloane folosite de phisheri ca sa se blocheze centralizat. daaa, pare mult, dar dacă nu se fac astea, atacatorii vor continua să profite de formate „inofensive”. vezi să nu deschizi svg-uri din mailuri ciudate.