AI Virustotal odkrywa całoroczną kampanię złośliwego oprogramowania ukrytą w plikach SVG

Published by All Things Windows on

Virustotal odkrył roczną kampanię złośliwego oprogramowania, która wykorzystała złośliwe pliki obrazów SVG w celu podszywania się pod kolumbijski system sądowy, unikanie tradycyjnego wykrywania antywirusowego. Odkrycie miało miejsce w tym tygodniu po zaktualizowaniu Virustotal swojej platformy Insight Insight Code AI do analizy plików SVG.

Narzędzie natychmiast oznaczało plik, który pomimo wykrycia zerowego zawierał wyrafinowany atak phishingowy. To pojedyncze odkrycie pozwoliło badaczom odkryć szerszą kampanię obejmującą ponad 500 plików. Operacja podkreśla rosnący trend atakujących przy użyciu obrazów skryptowych.

Ten incydent podkreśla kluczową rolę AI w identyfikowaniu wcześniej niewidocznych zagrożeń, które latają pod radarem narzędzi bezpieczeństwa opartych na podpisie.

ai łapie to, co tradycyjne antywirusowe pominięte

przełom pojawił się tuż po wdrożeniu Virustotal narzędzia do kodu, dodając obsługę analizy plików SWF i svg. Niemal natychmiast przedłożył podejrzany plik SVG, że żaden silnik antywirusowy nie został oznaczony jako złośliwy. Jednak analiza AI opowiedziała inną historię. Podsumowanie kodu Insight

było bezpośrednie i niepokojące. Poinformowało: „Ten plik SVG wykonuje osadzony ładunek JavaScript po renderowaniu. Skrypt dekoduje i wstrzykuje podstawową stronę phishingową kodowaną przez Base64, podszywającą się pod uwagę kolumbijskiego systemu sądowego.”

Ten kontekst wygenerowany przez AI, który został przekonany o krytycznym miejscu, który byłby podsumowany, co było podnoszeniem, co było, co by było, co byłoby rozróżniane, co miałoby od wyciszenia w wyznaczonym przez siebie kontekstu. Łagodny plik.

W jaki sposób obraz SVG staje się Złośliwym Dropperem

Atakerzy coraz bardziej uzbrojeni w pliki SVG, ponieważ ich struktura oparta na XML pozwala na osadzone skrypty, funkcję nie obecną w formatach takich jak JPEG lub PNG. Ta kampania wykorzystała tę zdolność w pełni. Złośliwy SVG, otwarty w przeglądarce, renderuje fałszywy portal rządowy.

Ten portal symuluje pobieranie pliku za pomocą paska postępu, budując zaufanie użytkowników podczas wykonania ładunku. W tle wbudowany JavaScript dekoduje duży ciąg Base64, który jest złośliwym archiwum zip, i

Pobrane archiwum zawiera legalne wykonywalne i złośliwe DLL. Gdy użytkownik uruchomi wykonywalny, obciąża DLL, instalując dalsze złośliwe oprogramowanie do systemu. Ten wieloetapowy proces został zaprojektowany tak, aby ominąć kontrole bezpieczeństwa na każdym etapie.

z pojedynczego pliku do rocznej kampanii

uzbrojonych w początkowe wyniki AI, Virustotal badacze obracają się, aby odkryć pełny rozwój operacji. Proste zapytanie wyszukiwania w Virustotal Intelligence, oparte na raporcie Insight Code, natychmiast przesyłało 44 podobne, niewykryte pliki SVG.

Atakerzy popełnili kluczowy błąd bezpieczeństwa operacyjnego: pozostawienie komentarzy w języku hiszpańskim w ich kodzie, takich jak „Poliformismo_masivo_seguro” (masywny bezpieczny polimorfizm). Naukowcy wykorzystali te unikalne ciągi do stworzenia zasady YARA, podpisu do polowania na zagrożenia.

Retrohunt przy użyciu tej zasady w bazie danych Virustotal zwróconych 523 meczów. Najwcześniejsza próbka z 14 sierpnia 2024 r. Zgłoszona również z Kolumbii, a także z wykrywaniem zero AV w tym czasie. To ujawniło, że kampania działała z powodzeniem od ponad roku.

Rosnąca przypływ ataków opartych na SVG

Ta kolumbijska kampania jest doskonałym przykładem szerszego trendu. Jak donosi Winbuzzer na początku tego roku, badacze bezpieczeństwa widzieli dramatyczny wzrost ataków phishingowych opartych na SVG w 2025 r. Te pliki często omijają bramy e-mail, ponieważ są klasyfikowane za pomocą typu obrazu obrazu.

Ta technika nie jest całkowicie nowa; Cisco Talos udokumentował złośliwe oprogramowanie Qakbot za pomocą SVG do przemytu ładunku w 2022 r. Jednak obecna fala koncentruje się bardziej bezpośrednio na kradzieży poświadczonej i dostarczaniu złośliwego oprogramowania, często ukierunkowanym na usługi chmurowe.

Ewolucja tych taktyk pokazuje stałą grę kota i myszy w cyberbezpieczeństwie. Jak zauważył Bernardo Quintero z Virustotal: „W tym to, gdzie wgląd w kod pomaga najczęściej: dawać kontekst, oszczędzając czas i pomagając skupić się na tym, co naprawdę się liczy. To nie jest magia, a nie zastąpi analizy eksperckiej…„

Kaspersky Badacze echem echem tego nastroju, ostrzegając, że… wykorzystanie SVG jako pojemnika na złośliwe treść może być również stosowane w kolejnych atakach do celów “. potencjał bardziej ukierunkowanych operacji.

Categories: IT Info

Related Posts

IT Info

Jak włączyć lub wyłączyć najnowsze pliki w notatniku w systemie Windows 11

Dowiedz się, jak włączyć lub wyłączyć funkcję najnowszych plików w notatniku, która pozwala otworzyć niedawno otwarte pliki tekstowe bezpośrednio z aplikacji Notatnik.

IT Info

Meta-demaskatorzy zarzucają tłumienie badań nad bezpieczeństwem dzieci VR w celu stworzenia „prawdopodobnej zaprzeczania”

Obecni i byli pracownicy meta twierdzą, że prawnicy firmy systematycznie tłumili wewnętrzne badania dotyczące zagrożeń bezpieczeństwa dzieci w swoich produktach VR. Post Meta Informblowers twierdzą, że Su

IT Info

Powszechne nieporozumienia na temat płac: oddzielenie faktów od fikcji

Kluczowe mity płacowe mogą powodować kosztowne błędy w firmach o każdej wielkości. Automatyzacja i zgodność są kluczowymi elementami współczesnych procesów płac. Błędność pracownika