Эксперты компании VirusTotal выявили необычную кампанию, в ходе которой вредоносные SVG-файлы используются для распространения вредоносного ПО. Эти файлы, основанные на XML, могут содержать скрипты и встроенный код, что позволяет злоумышленникам маскировать вредоносный JavaScript или вставлять ссылки, которые выполняются при открытии файлов в браузере.
Новая угроза пользователям
На данный момент было обнаружено более 500 вредоносных SVG-файлов, задействованных в этой кампании. Злоумышленники использовали эти файлы для создания убедительных поддельных страниц судей веб-сайта Колумбии, добавляя туда фальшивую полосу загрузки. По завершении этой несуществующей загрузки пользователям предлагалось сохранить архив ZIP с паролем.
В скаченном ZIP содержался исполняемый файл Comodo Dragon с изменённым именем, вредоносная библиотека DLL и два зашифрованных файла. Запуск исполняемого файла активировал DLL, которая устанавливала дополнительное вредоносное ПО на компьютер жертвы. Данная схема распространилась через фишинговые сообщения, имитирующие официальные правительственные коммуникации, что привлекло аудиторию из Колумбии.
Обход антивирусных систем
Многие из вовлечённых в эту кампанию SVG-файлов успешно избегали обнаружения антивирусными и средствами защиты на рабочих станциях, что делает их особенно опасными для пользователей. Злоумышленники вкладывают в такие файлы множество инновационных методов обхода защиты, что позволяет им развивать атаки с минимальным риском быть обнаруженными.
Современные антивирусные программы значительно улучшились, тем не менее, это очередной пример эволюции методов хакеров. Потребителям стоит быть бдительными при открытии неизвестных файлов и подозрительных электронных писем. Принятие надёжных методов проверки также остаётся важным во избежание угроз.
