Când soluțiile care analizează fișiere au început să accepte imagini SVG în examinările lor automate, a ieșit la iveală o campanie de phishing ce imită portaluri ale sistemului judiciar din Columbia și distribuie malware ascuns. VirusTotal a detectat această operațiune după ce a introdus suport pentru SVG în funcționalitatea AI Code Insight, iar rezultatul ilustrează creativitatea actorilor rău-intenționați când exploatează formate aparent inofensive.
SVG, adică Scalable Vector Graphics, este un format pentru grafică vectorială în care liniile, formele și textul sunt exprimate prin cod text. La prima vedere pare doar o imagine, dar elementul foreignObject permite includerea de HTML, iar JavaScript-ul se poate executa imediat ce fișierul este deschis. Atacatorii au profitat de acest lucru: fișiere SVG care afișează portaluri false ce par parte din infrastructura judiciară columbiană, cu numere de dosar, token-uri de securitate și elemente vizuale menite să inducă încredere. Pe pagină apare o bară simulată de descărcare și, la final, utilizatorului i se cere să descarce un arhivă protejată prin parolă; parola este afișată pe aceeași pagină falsă.
VirusTotal a descoperit inițial un SVG care nu fusese prins de scanările antivirus obișnuite, dar a fost semnalat de AI Code Insight pentru că folosea JavaScript pentru a insera HTML și a imita un portal oficial. Analizele ulterioare au scos la iveală încă 523 de fișiere SVG încărcate anterior, parte din aceeași campanie și neidentificate de mecanismele convenționale. Acest fapt subliniază utilitatea analizelor automate asistate de AI: pot evidenția tehnici sau modele noi pe care regulile tradiționale le ratează.
Investigațiile au arătat că arhiva descărcată conține patru fișiere: un executabil legitim al browserului Comodo Dragon redenumit pentru a părea un document judiciar oficial, o bibliotecă DLL malițioasă și două fișiere criptate. Dacă utilizatorul rulează executabilul, DLL-ul este încărcat prin sideloading și permite instalarea de malware suplimentar pe sistem. E o metodă simplă, dar eficientă: folosești un program legitim, îl maschezi și permiți componentelor malițioase să se instaleze în tăcere.
VirusTotal evidențiază că integrarea suportului pentru SVG în AI Code Insight a fost crucială pentru detectarea acestei operațiuni. Funcția analizează probele încărcate folosind învățare automată și generează rezumate ale comportamentului suspect sau malițios, oferind context și economisind timp specialiștilor. Nu înlocuiește analiza umană, dar reduce zgomotul și concentrează atenția asupra elementelor relevante.
Aspectele tehnice ale acestui caz, utilizarea elementului foreignObject din SVG, afișarea de interfețe false, distribuirea unei arhive protejate prin parolă, prezența unui executabil legitim redenumit și a unei DLL malițioase, arată o tendință mai largă: formatele uzuale pentru conținut benign devin vehicule pentru atacuri din ce în ce mai sofisticate. Practic, rămâne esențial ca organizațiile și utilizatorii să trateze fișierele primite, inclusiv cele cu extensii aparent inofensive, cu prudență și să se bazeze pe soluții de detecție care combină semnături tradiționale cu analize comportamentale și suport AI.
VirusTotal menționează că AI Code Insight sprijină prioritizarea investigațiilor și furnizarea rapidă de context; nu oferă soluții miraculoase, ci un instrument complementar pentru identificarea campaniilor noi. Pentru utilizatorii obișnuiți, lecția e clară: chiar și o imagine poate ascunde o capcană, iar solicitările de descărcare sau execuție a fișierelor trebuie privite cu scepticism, mai ales când sunt însoțite de presiuni sau mesaje care par oficiale.
VirusTotal a identificat 523 de fișiere SVG din aceeași campanie, iar unul dintre elementele centrale este apelul la încredere prin imitarea unui portal judiciar. Ce măsuri concrete crezi că ar trebui luate de instituțiile publice pentru a împiedica folosirea identității lor în astfel de atacuri?
Fii primul care comentează