virustotal hat eine einjährige Malware-Kampagne aufgedeckt, in der böswillige SVG-Image-Dateien verwendet wurden, um das kolumbianische Justizsystem auszugeben, wodurch sich die traditionelle Antivirenerkennung entzieht. Die Entdeckung ereignete sich in dieser Woche, nachdem Virustotal seine KI-betriebene Code-Insight-Plattform zur Analyse von SVG-Dateien aktualisiert hatte. Diese einzige Entdeckung ermöglichte es den Forschern, eine breitere Kampagne mit über 500 Dateien aufzudecken. Die Operation zeigt einen wachsenden Trend von Angreifern unter Verwendung von Skriptbildern. src=”https://winbuzzer.com/wp-content/uploads/2024/11/cybersecurity-cybercrime-cyberattacks-hackers.webp”>
AI fängt das, was traditionelles Antivirus vermisst wird
Durchbruch kam kurz nach Virustotal bereitete ein Update zu seinem Code-Insight-Tool hinzu und fügte Unterstützung für die Analyse von SWF-und SVG-Dateien hinzu. Fast sofort wurde eine verdächtige SVG-Datei eingereicht, dass kein Antivirenmotor als bösartig markiert war. Die KI-Analyse erzählte jedoch eine andere Geschichte.
Code Insights Zusammenfassung war direkt und alarmierend. Es berichtete: „Diese SVG-Datei führt beim Rendern eine eingebettete JavaScript-Nutzlast aus. Die Skript-Decodes und injiziert eine Base64-kodierte HTML-Phishing-Seite, die sich für ein kolumbianisches Justizsystem ausgibt. Eine gutartige Datei.
Wie ein SVG-Bild zu einem Malware-Tropfen wird
Angreifer waffen zunehmend SVG-Dateien, da ihre XML-basierte Struktur eingebettete Skripte ermöglicht, eine Funktion, die nicht in Formaten wie JPEG oder PNG vorhanden ist. Diese Kampagne nutzte diese Fähigkeit in vollen Zügen aus. Das bösartige SVG in einem Browser macht ein gefälschtes Regierungsportal. Im Hintergrund dekodiert der eingebettete JavaScript eine große Basis64-Saite, die ein bösartiges Zip-Archiv ist, und
Das heruntergeladene Archiv enthält eine legitime ausführbare Datei und eine böswillige DLL. Wenn der Benutzer die ausführbare Datei ausführt, lädt er die DLL auf und installiert weitere Malware auf dem System. Dieser mehrstufige Prozess ist so konzipiert, dass die Sicherheitsprüfungen in jedem Schritt umgehen. Eine einfache Suchabfrage in Virustotal Intelligence, basierend auf dem Code Insight-Bericht, tauchte sofort 44 ähnliche, nicht erkannte SVG-Dateien auf. Die Forscher verwendeten diese einzigartigen Zeichenfolgen, um eine Yara-Regel zu erstellen, eine Unterschrift für Jagdbedrohungen. Die früheste Stichprobe stammt aus dem 14. August 2024, ebenfalls aus Kolumbien und zu diesem Zeitpunkt auch ohne AV-Erkennungen. Dies ergab, dass die Kampagne seit über einem Jahr erfolgreich operierte. Wie Winbuzzer zu Beginn dieses Jahres berichtete, haben Sicherheitsforscher einen dramatischen Anstieg der Phishing-Angriffe in SVG-basierten Phishing in 2025 verzeichnet. Diese Dateien umgehen häufig E-Mail-Gateways, da sie mit einem Bildmime-Typ klassifiziert werden. Diese Technik ist nicht völlig neu. Cisco Talos dokumentierte Qakbot-Malware unter Verwendung von SVGs für die Nutzlastschmuggel im Jahr 2022. Die aktuelle Welle konzentriert sich jedoch direkter auf Diebstahl und Malware-Bereitstellung von Anmeldeinformationen und zielt häufig auf Cloud-Dienste ab. Wie Bernardo Quintero von Virustotal feststellte:”Hier hilft Code Insight am meisten: Kontext geben, Zeit sparen und sich auf das konzentrieren, was wirklich wichtig ist. Es ist keine Magie und es wird keine Expertenanalyse ersetzen…” Kaspersky-Forscher, die diese Stimmung geweckt haben,”… Die Verwendung von SVGGE-Anschlägen. Vektorpotential für gezieltere Operationen.