L’intelligenza artificiale di Virustotal scopre la campagna di malware di un anno nascosta nei file SVG

Published by All Things Windows on

VirustOtal ha scoperto una campagna di malware di un anno che ha utilizzato file di immagini SVG dannosi per impersonare il sistema giudiziario colombiano, sfuggendo al rilevamento tradizionale antivirus. La scoperta si è verificata questa settimana dopo che Virustetale ha aggiornato la sua piattaforma di intuizione del codice AI per analizzare i file SVG.

Lo strumento ha immediatamente contrassegnato un file che, nonostante avesse rilevamenti zero, conteneva un sofisticato attacco di phishing. Questa singola scoperta ha permesso ai ricercatori di scoprire una campagna più ampia che coinvolge oltre 500 file. L’operazione mette in evidenza una crescente tendenza degli aggressori che utilizzano immagini sceneggiate.

Questo incidente sottolinea il ruolo critico dell’IA nell’identificare minacce precedentemente invisibili che volano sotto il radar degli strumenti di sicurezza basati sulla firma. src=”https://winbuzzer.com/wp-content/uploads/2024/11/cybersecurity-cybercrimecrime-cyberattacks-hackers.webp”>

AI cattura ciò che l’antivirus tradizionale ha mancato

href=”https://blog.virustotal.com/2025/09/uncovering-golombian-malware-campaign.html”Target=”_ blank”> è arrivata la svolta subito dopo che Virustotal ha distribuito un aggiornamento del suo strumento di invvento del codice, aggiungendo supporto per l’analisi delle file SWF e SVG. Quasi immediatamente, è stato presentato un file SVG sospetto che nessun motore antivirus è stato contrassegnato come dannoso. Tuttavia, l’analisi dell’intelligenza artificiale ha raccontato una storia diversa.

Il riepilogo del codice Insight è stato diretto e allarmante. Ha riferito:”Questo file SVG esegue un payload JavaScript incorporato al momento del rendering. La sceneggiatura decodifica e inietta una pagina di phishing HTML codificata da Base64 che impersonava un portale di sistema giudiziario del governo colombiano. un file benigno.

Come un’immagine SVG diventa un contagocce di malware

Gli aggressori stanno sempre più armando i file SVG perché la loro struttura basata su XML consente di sceneggiature incorporate, una funzione non presente in formati come JPEG o PNG. Questa campagna ha sfruttato questa capacità al massimo. L’SVG dannoso, quando aperto in un browser, rende un portale governativo falso.

Questo portale simula un download di file con una barra di avanzamento, costruendo fiducia utente mentre esegue il suo carico utile. Sullo sfondo, il JavaScript incorporato decodifica una grande stringa di base64, che è un archivio zip dannoso e

L’archivio scaricato contiene un eseguibile legittimo e una DLL dannosa. Quando l’utente esegue l’eseguibile, ha messo a dura prova la DLL, installando ulteriori malware sul sistema. Questo processo a più stadi è progettato per bypassare i controlli di sicurezza in ogni fase.

Da un singolo file a una campagna di un anno

armati dei risultati iniziali dell’IA, i ricercatori virusti hanno girato per scoprire la piena estensione dell’operazione. Una semplice query di ricerca nell’intelligence virustotale, basata sul rapporto di intuizione del codice, è emersa istantaneamente 44 file SVG simili e non rilevati.

Gli aggressori hanno fatto un errore di sicurezza operativa cruciale: lasciare commenti in lingua spagnola nel loro codice, come”Poliformismo_Masivo_Seguro”(massiccio polimorfismo polimerico). I ricercatori hanno utilizzato queste stringhe uniche per creare una regola Yara, una firma per le minacce di caccia.

Una raccolta retrò che utilizzava questa regola attraverso il database di Virustotal ha restituito 523 corrispondenze. Il primo campione risale al 14 agosto 2024, anche presentato dalla Colombia e anche con i rilevamenti AV Zero all’epoca. Ciò ha rivelato che la campagna operava con successo per oltre un anno.

Una marea crescente di attacchi basati su SVG

Questa campagna colombiana è un primo esempio di tendenza più ampia. Come riportato da Winbuzzer all’inizio di quest’anno, i ricercatori della sicurezza hanno visto un drammatico aumento degli attacchi di phishing basati su SVG nel corso del 2025. Questi file spesso bypassano i gateway di posta elettronica perché sono classificati con un tipo di mimo di immagine.

Questa tecnica non è completamente nuova; Cisco Talos ha documentato il malware Qakbot utilizzando SVGS per il contrabbando di payload nel 2022. Tuttavia, l’attuale ondata si concentra più direttamente sul furto di credenziali e sulla consegna del malware, spesso prendendo di mira i servizi cloud.

L’evoluzione di queste tattiche dimostra il gioco costante di gatti e mouse in cyebersicurezza. Come ha osservato Bernardo Quintero di Virustotal,”È qui che il codice Insight aiuta di più: dare contesto, risparmiare tempo e aiutare a concentrarsi su ciò che conta davvero. Non è magico, e non sostituirà l’analisi di esperti…”

ricercatori di Kaspersky echeggiati per echeggiare questo SENTITUTO, Avvertita, avvertendo questo potenziale per eco di questo. Operazioni più mirate.

Categories: IT Info

Related Posts

IT Info

Come riavviare un adattatore di rete in Windows 11

Questo articolo delinea i metodi per riavviare un adattatore di rete in Windows 11, un componente cruciale per la connettività di rete. Il riavvio può risolvere i problemi di connettività e chiarire temporaneamente G

IT Info

Mostra file di sistema nascosti in File Explorer di Windows 11

Questo articolo descrive in dettaglio come rivelare i file di sistema nascosti in File Explorer su Windows 11. Descrive gli aggiornamenti intuitivi nella nuova app di impostazioni che semplificano l'accesso a questa featu

IT Info

Come abilitare o disabilitare i file recenti nel blocco note su Windows 11

Scopri come abilitare o disabilitare la funzione di file recenti nel blocco note che consente di aprire file di testo aperti di recente dall'app Notepad.