href=”https://blog.virustotal.com/2025/09/Uncovering-colombian-malware-campaign.html”target=”_ blank”> Breakthrough datang hanya selepas Virustotal mengerahkan kemas kini ke alat wawasan kodnya, menambah sokongan untuk menganalisis SWF dan SVF dan SVF dan SVG FILE dan SVG FILE dan SVG. Hampir dengan serta-merta, fail SVG yang mencurigakan telah dikemukakan bahawa tidak ada enjin antivirus yang ditandai sebagai berniat jahat. Walau bagaimanapun, analisis AI menceritakan kisah yang berbeza.
Ringkasan Code Insight adalah langsung dan membimbangkan. Ia melaporkan,”Fail SVG ini melaksanakan muatan JavaScript yang tertanam setelah membuat skrip menyahkod dan menyuntikkan Page PHISISISISISISISISISI yang dibentuk oleh Colombia.”
dipecat sebagai fail jinak.
Bagaimana imej SVG menjadi penitis malware
penyerang semakin membakar fail SVG kerana struktur berasaskan XML mereka membolehkan skrip tertanam, ciri yang tidak hadir dalam format seperti JPEG atau PNG. Kempen ini mengeksploitasi keupayaan itu sepenuhnya. SVG yang berniat jahat, apabila dibuka dalam penyemak imbas, menjadikan portal kerajaan palsu. Di latar belakang, JavaScript tertanam menguraikan rentetan base64 yang besar, yang merupakan arkib zip yang berniat jahat, dan . Kata laluan untuk arkib dipaparkan dengan mudah pada halaman.
Arkib yang dimuat turun mengandungi Eksekusi yang sah dan DLL yang berniat jahat. Apabila pengguna menjalankan executable, ia mengetepikan DLL, memasang perisian hasad selanjutnya ke sistem. Proses pelbagai peringkat ini direka untuk memintas pemeriksaan keselamatan pada setiap langkah.
Dari satu fail ke kempen sepanjang tahun
Bersenjata dengan penemuan awal AI, penyelidik Virustotal berputar untuk mengungkap sepenuhnya operasi. Pertanyaan carian mudah dalam kecerdasan virustotal, berdasarkan laporan Code Insight, dengan serta-merta muncul 44 fail SVG yang sama, tidak dapat dikesan. Penyelidik menggunakan rentetan unik ini untuk membuat peraturan Yara, tandatangan untuk ancaman memburu.
Retrohunt menggunakan peraturan ini di seluruh pangkalan data Virustotal kembali 523 perlawanan. Sampel terawal bertarikh kembali ke 14 Ogos 2024, juga dikemukakan dari Colombia dan juga dengan pengesanan sifar AV pada masa itu. Ini mendedahkan kempen itu telah beroperasi dengan jayanya selama lebih dari setahun.
Serangan berasaskan SVG yang semakin meningkat
Kempen Kolombia ini merupakan contoh utama trend yang lebih luas. Seperti yang dilaporkan oleh Winbuzzer pada awal tahun ini, penyelidik keselamatan telah melihat lonjakan dramatik dalam serangan pancingan data berasaskan SVG sepanjang tahun 2025. Fail-fail ini sering memintas gerbang e-mel kerana mereka diklasifikasikan dengan jenis mime imej.
Teknik ini tidak sepenuhnya baru; Cisco Talos mendokumenkan malware Qakbot menggunakan SVGs untuk penyeludupan muatan kembali pada tahun 2022. Walau bagaimanapun, gelombang semasa memberi tumpuan lebih kepada pencurian kredensial dan penghantaran malware, sering mensasarkan perkhidmatan awan.
Seperti yang dinyatakan oleh Virustotal Bernardo Quintero,”Ini adalah di mana wawasan kod membantu kebanyakan: memberi konteks, menjimatkan masa, dan membantu memberi tumpuan kepada apa yang benar-benar penting. Ia bukan sihir, dan ia tidak akan menggantikan analisis pakar…”
potensi vektor untuk operasi yang lebih disasarkan.