A
A Virustotal egy éven át tartó rosszindulatú kampányt fedezett fel, amely rosszindulatú SVG képfájlokat használt a kolumbiai igazságszolgáltatási rendszer megszemélyesítésére, elkerülve a hagyományos víruskereső detektálást. A felfedezés ezen a héten történt, miután a Virustotal frissítette az AI-meghajtású Code Insight platformot az SVG fájlok elemzésére. Ez az egyetlen felfedezés lehetővé tette a kutatók számára, hogy több mint 500 fájlt érintő kampányt fedezzenek fel. A művelet kiemeli a támadók egyre növekvő tendenciáját, amely szkriptelt képeket használ. src=”https://winbuzzer.com/wp-content/uploads/2024/11/cybersecurity-cybertacks-cyberattacks-hackers.webp”>
ai elkapja azt href=”https://blog.virustotal.com/2025/09/uncovering-colombian-malware-campaign.html”Target=”_ üres”> Breakhrough Come Azután, hogy a Virustotal egy frissítést telepített a kód-Insight eszközhöz, támogatást adva SWF és SVG fájlok elemzéséhez. Szinte azonnal egy gyanús SVG-fájlt nyújtottak be, hogy egyetlen vírusos motor sem volt rosszindulatú. Az AI elemzés azonban más történetet mesélt el. Azt jelentette: „Ez az SVG-fájl beágyazott JavaScript hasznos teherbírást hajt végre. jóindulatú fájl. Ez a kampány ezt a képességet teljes mértékben kihasználta. A rosszindulatú SVG, amikor böngészőben nyitják meg, hamis kormányzati portált jelent. In the background, the embedded JavaScript decodes a large Base64 string, which is a malicious ZIP archive, and forces the browser to download it. Az archívum jelszava kényelmesen megjelenik az oldalon. Amikor a felhasználó futtatja a futtathatóságot, az oldalsó feltölti a DLL-t, és további rosszindulatú programokat telepít a rendszerre. Ezt a többlépcsős folyamatot úgy tervezték, hogy megkerülje a biztonsági ellenőrzéseket minden lépésnél. Egy egyszerű keresési lekérdezés a Virustotal Intelligence-ben, a Code Insight Report alapján, azonnal felszínre került 44 hasonló, nem észlelt SVG fájl. A kutatók ezeket az egyedi karakterláncokat egy Yara-szabály létrehozására használták, aláírást a vadászati fenyegetésekhez. A legkorábbi 2024. augusztus 14-én keltezett mintát Kolumbiából és az akkori nulla AV-detektálással is benyújtották. Ez feltárta, hogy a kampány több mint egy éve sikeresen működik. Amint a Winbuzzer az év elején beszámolt, a biztonsági kutatók drámai növekedést tapasztaltak az SVG-alapú adathalász támadások során 2025 folyamán. Ezek a fájlok gyakran megkerülik az e-mail átjárókat, mivel képm-mime típusúak.
Ez a technika nem teljesen új; A Cisco Talos dokumentálta a Qakbot Malware-t az SVGS segítségével a hasznos tehercsempészethez 2022-ben. A jelenlegi hullám azonban közvetlenül a hitelesítő adatok lopásokra és a rosszindulatú szoftverek szállítására összpontosít, gyakran a felhőalapú szolgáltatásokat célozva. Ahogyan a Virustotal Bernardo Quintero megjegyezte: „A Code Insight itt segít a leginkább: a kontextus megadása, az idő megtakarítása és a koncentrálás arra, ami igazán számít. célzottabb műveletek.