Virustotalは、悪意のあるSVG画像ファイルを使用してコロンビアの司法制度になりすまし、従来のウイルス対策検出を回避する1年間のマルウェアキャンペーンを発見しました。今週、VirustotalがSVGファイルを分析するAI搭載のコード洞察プラットフォームを更新した後、この発見が発生しました。
このツールは、検出がゼロになっているにもかかわらず、洗練されたフィッシング攻撃を含むファイルにすぐにフラグを立てました。この単一の発見により、研究者は500を超えるファイルを含むより広いキャンペーンを発見することができました。この操作は、スクリプト化された画像を使用して攻撃者の成長傾向を強調しています。
このインシデントは、署名ベースのセキュリティツールのレーダーの下で飛ぶ以前の目に見えなかった脅威を特定する際のAIの重要な役割を強調しています。 src=”https://winbuzzer.com/wp-content/uploads/2024/11/cybersecurity-cybercyberatcacks-hackers.webp”>
aiは、伝統的なウイルス対策の見逃したものをキャッチします
href=”https://blog.virustotal.com/2025/09/uncovering-colombian-malware-campaign.html”ターゲット=”_ blank”>ブレークスルーが来たコード洞察ツールの更新を展開し、SWFとSVGファイルの分析のためのサポートを追加しました。ほとんどすぐに、不正なエンジンが悪意があるとフラグが付けられていないという疑わしいSVGファイルが提出されました。ただし、AI分析は別のストーリーを語りました。
Code Insightの要約は直接的かつ驚くべきものでした。 「このSVGファイルは、レンダリング時に埋め込まれたJavaScriptペイロードを実行します。スクリプトは、コロンビア政府の司法システムポータルになりすましてBase64でエンコードされたHTMLフィッシングページをデコードして注入します。」良性ファイル。このキャンペーンは、その機能を最大限に活用しました。悪意のあるSVGは、ブラウザで開かれたときに偽の政府ポータルをレンダリングします。
このポータルは、進行状況バーでファイルのダウンロードをシミュレートし、ペイロードを実行しながらユーザーの信頼を構築します。背景では、埋め込まれたJavaScriptは、悪意のあるZIPアーカイブである大きなBase64文字列をデコードします。アーカイブのパスワードはページに便利に表示されます。
ダウンロードされたアーカイブには、正当な実行可能ファイルと悪意のあるDLLが含まれています。ユーザーが実行可能ファイルを実行すると、DLLをサイドロードして、さらにマルウェアをシステムにインストールします。このマルチステージプロセスは、各ステップでセキュリティチェックをバイパスするように設計されています。
単一のファイルから1年間のキャンペーン
AIの最初の調査結果を武装して、操作の全範囲を明らかにするためにvirustotal研究者がピボットしました。コード洞察レポートに基づいて、Virustotal Intelligenceの単純な検索クエリは、44の同様の検出されないSVGファイルを即座に浮上させました。研究者は、これらのユニークな文字列を使用して、狩猟の脅威の署名であるヤラルールを作成しました。 2024年8月14日にさかのぼり、コロンビアからも提出された最初のサンプルと、当時はゼロAV検出がありました。これにより、このキャンペーンは1年以上成功していたことが明らかになりました。 Winbuzzerが今年初めに報告したように、セキュリティ研究者は2025年にSVGベースのフィッシング攻撃に劇的な急増を見てきました。これらのファイルは、画像MIMEタイプで分類されるため、電子メールゲートウェイをバイパスすることがよくあります。
この手法はまったく新しいものではありません。 Cisco Talosは、2022年にペイロード密輸にSVGを使用してQakbotマルウェアを文書化しました。しかし、現在の波は、クレデンシャルの盗難とマルウェアの配信により直接焦点を合わせ、しばしばクラウドサービスをターゲットにしています。 VirustotalのBernardo Quinteroが述べたように、「これはコード洞察が最も役立つ場所です。コンテキストを与え、時間を節約し、本当に重要なことに焦点を当てるのに役立ちます。それは魔法ではなく、専門家の分析に代わるものではありません…」よりターゲットを絞った操作については。