偽SVGマルウェアがコロンビアで拡散:司法長官事務所を偽装し、AsyncRATをインストール

サイバーセキュリティ
2025-09-11T12:28:05+02:00

最終更新日: 2025年09月11日
  • コロンビアの司法長官事務所を装った電子メールは、おとりとして SVG 添付ファイルを配布します。
  • 被害者ごとの「カスタム」ファイル、自動化、AI 使用の証拠により、検出が複雑になります。
  • 感染チェーンは、DLL サイドローディングを介して AsyncRAT を展開することで終了します。
  • 44 月以降、500 個の固有の SVG と XNUMX 個を超えるアーティファクトが確認されていますが、初期の検出数は少ないです。

コロンビアのマルウェア

ラテンアメリカでは、 コロンビアを震源地とする悪質なキャンペーンの波、公式組織から送信されたように見える電子メールで異常なファイルを配布し、コンピューターを感染させます。

フックはいつもと同じだ虚偽の召喚状や訴訟によるソーシャルエンジニアリング—しかし、その配信方法は飛躍的に進歩しました。 ロジック、自動化されたテンプレート、AI支援プロセスを示すシグナルが埋め込まれたSVG添付ファイル.

コロンビアのユーザーを狙った作戦

メッセージはなりすまし 司法長官事務所などの機関 .svgファイルが含まれており、そのサイズは10MBを超えることが多く、それだけでも疑わしいものです。それを開くと、正規の文書ではなく、 公式手続きをシミュレートするインターフェース 進捗バーと想定される検証付き。

数秒後、ブラウザ自体が パスワード保護されたZIP同じファイル内に明確に示されており、「正式な」手続きの段階的実行を裏付けている。分析したサンプルの1つ(SHA-XNUMX: 0AA1D24F40EEC02B26A12FBE2250CAB1C9F7B958)、ESETのセキュリティソリューションはそれを JS/TrojanDropper.Agent.PSJ.

出荷は 1 つの添付ファイルのみで大規模ではありません。 各受信者は異なるSVGを受け取りますランダムなデータによって一意性が保たれます。この「多態性」により、自動フィルタリングとアナリストの作業は困難になります。

テレメトリ表示 8月は平日の活動がピークを迎えるコロンビア在住のユーザーの間で発生率が高く、同国を標的とした継続的なキャンペーンが行われていることを示唆しています。

SVGファイルの役割と密輸の手口

SVGは XMLベースのベクター画像形式この柔軟性(テキスト、スタイル、スクリプトを同じファイルにまとめる)により、攻撃者は 隠されたコードとデータ 目に見える外部リソースを必要とせず、MITRE ATT&CK で文書化されている「SVG スマグリング」と呼ばれる手法です。

このキャンペーンでは、SVG 自体の中で欺瞞が実行されます。 偽の情報ページが表示される コントロールとメッセージがあり、完了すると、感染の次のステップを開始する実行可能ファイルを含む ZIP パッケージがブラウザに保存されます。

被害者がダウンロードしたコンテンツを実行すると、連鎖は DLLサイドローディング: 正当なバイナリが、細工されたライブラリを知らないうちにロードし、検出されずに攻撃者が侵入を継続できるようにします。

最終的な目標は、 アシンクRATキーロギング、ファイル流出、スクリーンキャプチャが可能なリモートアクセス型トロイの木馬。 カメラとマイクを制御する ブラウザに保存されている資格情報を盗みます。

テンプレート内の自動化と AI フットプリント

分析されたSVGのマークアップから、 一般的なフレーズ、空のレイアウトフィールド、過度に説明的なクラス、印象的な代替に加えて、例えば 絵文字による公式シンボル— 実際のポータルでは使用されないものです。

明白なパスワードと「検証ハッシュ」と呼ばれるものもあるが、 これらはMD5文字列に過ぎない 実用的妥当性がない。すべてが既製のキットや 自動生成されたテンプレート 最小限の人的労力でアタッチメントを連続的に生産します。

脱税と選挙運動の数字

サンプル共有プラットフォームは少なくとも 44個のユニークなSVG 運営に携わる従業員と 500月中旬以降、関連遺物XNUMX点最初の亜種はサイズが重く(約 25 MB)、時間の経過とともに「調整」されました。

制御を回避するために、サンプルは 難読化、多態性、そして膨大なコード 静的解析を混乱させ、結果として 初期検出率が低い 複数のエンジンによって。

の使用 XML内のスペイン語マーカー 繰り返されるパターンにより、研究者は狩猟のルールとシグネチャーを作成し、遡及的に適用して、数百の出荷を同じキャンペーンに結び付けることができました。

2番目のベクター: 結合されたSWFファイル

同時に、 3Dミニゲームを装ったSWFファイル、ActionScriptモジュールとAESルーチンを使用して、関数型ロジックと不透明なコンポーネントを混合しました。 ヒューリスティック閾値を上げる悪意のあるものとして分類されるのを遅らせる.

El SWF+SVGデュオは、レガシーフォーマットと最新フォーマットの橋渡しSWFがエンジンを混乱させていた間に、 SVGはエンコードされたHTMLフィッシングページを挿入した 最初のクリック以外、ユーザーの操作なしで追加の ZIP を残しました。

の組み合わせ 被害者ごとの個別サンプルかさばるファイルと密輸技術は、 評判や単純なパターンに基づくフィルター 最初の波での感染拡大を阻止できていない。

これらの調査結果から導き出されるのは、 SVG形式を最大限に活用してコロンビアの組織を偽装する添付ファイルの作成を自動化し、DLLサイドローディングを介してAsyncRATを仕掛けます。.svgファイルや平文のパスワードを含む「召喚状」メールを受け取った場合は、疑いを持ち、 公式チャネルを通じて検証する 何かを開ける前に。