Согласно последнему отчёту от VirusTotal,
Фишинговая кампания с использованием SVG
Вирусная кампания была нацелена на пользователей, используя SVG-файлы, чтобы замаскироваться под правительственный портал Колумбии. После открытия такого SVG, пользователь видит реалистичный веб-портал с фальшивой строкой прогресса и кнопкой для загрузки. Нажатие на эту кнопку бросает на устройство вредоносный ZIP-архив, содержащий подписанный исполняемый файл браузера и вредоносную DLL, которая будет установлена при запуске EXE. Этот процесс активно использует мистификацию SVG, где поддерживается встраивание HTML и JavaScript, превращая их в своеобразные мини веб-страницы или полноценные фишинговые наборы при прикреплении к электронным письмам или размещении в облачных хранилищах.
Обход антивирусного обнаружения
Анализ показал, что из 523 SVG-файлов, связанных с этой кампанией, 44 были совершенно не обнаружены антивирусными движками при отправке. SVG использовали обфускацию и большое количество фиктивного кода для увеличения энтропии, что помогало им обходить статическое обнаружение. Это явление не единичное; предыдущие фишинговые SVG-кампании были нацелены на банки и страховые компании, а также служили для перенаправления или сбора учетных данных. Вендоры, такие как Microsoft, обновили правила для обнаружения таких угроз и убрали возможность рендеринга SVG в Outlook для веба и нового Outlook для Windows, чтобы закрыть этот вектор доставки.
Заключение
Специалисты по безопасности рекомендуют пользователям обращаться с неизвестными SVG-файлами так же осторожно, как и с любыми потенциально вредоносными файлами, быть внимательными к подозрительной активности и избегать открытия файлов от неизвестных источников.
