Virustotal發現了為期一年的惡意軟件活動,該活動使用惡意SVG圖像文件模仿哥倫比亞司法系統,從而避免了傳統的防病毒檢測。該發現發生在Virustotal更新其AI驅動的代碼Insight平台以分析SVG文件後本週發生的。
該工具立即標記了一個文件,該文件儘管檢測到零,但仍包含複雜的網絡釣魚攻擊。這個單一發現使研究人員能夠發現涉及500多個文件的更廣泛的活動。該操作強調了使用腳本圖像的攻擊者的日益增長的趨勢。
此事件強調了AI在識別基於簽名的安全工具雷達下飛行的先前不可見威脅的關鍵作用。
ai ai抓住了傳統的反病毒錯過了什麼
href=“ https://blog.virustotal.com/2025/09/uncovering-colombian-malware-campaign.html” target=“ _ black”> Breakthrough就在Virustal部署了其代碼Insight工具的更新後, 增加了對SWF和SVG和SVG文件的支持。幾乎立即提交了一個可疑的SVG文件,沒有任何防病毒引擎被標記為惡意。但是,AI分析講述了一個不同的故事。
代碼Insight的摘要是直接且令人震驚的。 It reported, “This SVG file executes an embedded JavaScript payload upon rendering. The script decodes and injects a Base64-encoded HTML phishing page impersonating a Colombian government judicial system portal.”
This AI-generated context provided the critical first clue that a sophisticated, undetected attack was underway, prompting a deeper investigation into what would have otherwise been dismissed as良性文件。
如何變成惡意軟件滴管
攻擊者越來越多地為SVG文件進行武器化武器,因為其基於XML的結構允許嵌入式腳本,該功能不以JPEG或PNG等形式出現。這項運動充分利用了該功能。惡意SVG在瀏覽器中打開時,將呈現一個假政府門戶。
此門戶網站模擬使用Progress Bar下載的文件,在執行有效負載時構建用戶信任。在背景中,嵌入式JavaScript解碼了一個大的base64字符串,這是一個惡意的ZIP檔案,
下載的存檔包含合法的可執行文件和惡意DLL。當用戶運行可執行文件時,它會將DLL加載,並將進一步的惡意軟件安裝到系統上。這個多階段的過程旨在繞過每個步驟的安全檢查。
從一個文件到為期一年的活動
武裝著AI的初始發現,即旋轉的病毒研究人員,樞紐以發現操作的全部程度。基於代碼Insight報告的Virustotal Intelligence中的簡單搜索查詢立即浮出水面44相似的,未檢測到的SVG文件。
攻擊者犯了一個至關重要的操作安全性錯誤:在其代碼中留下西班牙語評論,例如“ Polifortimismo_masivo_masivo_seguro_seguro_seguro”(質量安全的polymorphism)。研究人員使用這些獨特的字符串來創建Yara規則,這是狩獵威脅的簽名。
在Virustotal的數據庫中使用此規則返回的523次匹配。最早可以追溯到2024年8月14日的樣本也從哥倫比亞提交,當時也有零AV檢測。這表明該運動已經成功開展了一年多。
基於SVG的攻擊的浪潮
這項哥倫比亞運動是更廣泛趨勢的一個典型例子。正如Winbuzzer今年早些時候報導的那樣,安全研究人員在整個2025年的基於SVG的網絡釣魚攻擊中看到了急劇激增。這些文件經常繞過電子郵件網關,因為它們用圖像MIME類型進行了分類。
此技術並不完全是新的;思科塔洛斯(Cisco Talos)在2022年使用SVG記錄了Qakbot惡意軟件。但是,當前的浪潮更直接地關注憑證盜竊和惡意軟件的交付,通常針對雲服務。
這些策略的演變表明,Cybersecurity在Cybersecurity中持續不斷的貓和小鼠遊戲。 As VirusTotal’s Bernardo Quintero noted, “This is where Code Insight helps most: giving context, saving time, and helping focus on what really matters. It’s not magic, and it won’t replace expert analysis…”
Kaspersky researchers echoed this sentiment, warning that “…the use of SVG as a container for malicious content can also be employed in more sophisticated targeted attacks,”suggesting this vector’s potential對於更多針對性的操作。