- 20,334
- 46
- 8 Ноя 2022
SWF и SVG показали, что старые технологии всё ещё могут обмануть защиту.
Киберпреступники запустили новую волну атак, в которой для рассылки фишинговых страниц применяются SVG-файлы. Специалисты VirusTotal сообщили, что злоумышленники маскируются под прокуратуру Колумбии, распространяя по электронной почте вложения, содержащие скрытый JavaScript. Автоматический анализ показал поведение, которое антивирусы не смогли выявить.
SWF, формально «покойный» формат со времени отключения Flash в 2020 году, продолжает всплывать в трафике. За 30 дней в VirusTotal поступило 47 812 ранее неизвестных уникальных SWF-файлов, и 466 из них вызвали срабатывания хотя бы одного антивирусного движка. В одном из случаев всего 3 срабатывания из 63 указывали на «подозрительные» признаки и старую уязвимость , но детальный разбор выявил сложную игру с 3D-рендерингом, звуком и встроенным редактором уровней. Обфусцированные классы, использование RC4/AES и сбор системных сведений выглядели настораживающе, однако соответствовали логике защиты от читов и модификаций. Вредоносного поведения не обнаружено.
SVG — противоположность по духу и эпохе: открытый стандарт для веба и дизайна. Именно поэтому его предпочитают злоумышленники. За последние 30 дней VirusTotal получил 140 803 ранее неизвестных уникальных SVG-файлов, из них 1 442 были отмечены хотя бы одним движком. Один из образцов не был обнаружен ни одним движком, но при рендеринге запускал встроенный скрипт, который декодировал и встраивал фишинговую HTML-страницу, копирующую портал колумбийской судебной системы. Для правдоподобности страница имитировала загрузку документов с прогресс-баром, а в фоновом режиме загружался ZIP-архив и принудительно предлагался к скачиванию. Поведение подтверждено в песочнице: визуальные элементы, номера дел, «токены безопасности» — всё на месте, хотя это всего лишь SVG-изображение.
По данным VirusTotal, это не единичный случай. Запрос типа type:svg с упоминанием Колумбии вывел 44 уникальных SVG, все без срабатываний антивирусов, но с одинаковой тактикой: обфускация, полиморфизм, объёмный «мусорный» код для увеличения энтропии. При этом в скриптах остались испаноязычные комментарии вроде «POLIFORMISMO_MASIVO_SEGURO» и «Funciones dummy MASIVAS» — уязвимое место, пригодное для простой YARA-сигнатуры.
Поиск за год дал 523 совпадения. Самый ранний образец датирован 14 августа 2025 года, также загружен из Колумбии и также прошёл без детекций. Повторный анализ подтвердил ту же схему фишинга и скрытой загрузки. Ранние экземпляры были крупнее — около 25 МБ, затем размер снижался, что говорит о доработке полезной нагрузки. Канал доставки — электронная почта, что позволило связать цепочку по метаданным отправителей, темам и именам вложений.
Киберпреступники запустили новую волну атак, в которой для рассылки фишинговых страниц применяются SVG-файлы. Специалисты VirusTotal сообщили, что злоумышленники маскируются под прокуратуру Колумбии, распространяя по электронной почте вложения, содержащие скрытый JavaScript. Автоматический анализ показал поведение, которое антивирусы не смогли выявить.
SWF, формально «покойный» формат со времени отключения Flash в 2020 году, продолжает всплывать в трафике. За 30 дней в VirusTotal поступило 47 812 ранее неизвестных уникальных SWF-файлов, и 466 из них вызвали срабатывания хотя бы одного антивирусного движка. В одном из случаев всего 3 срабатывания из 63 указывали на «подозрительные» признаки и старую уязвимость , но детальный разбор выявил сложную игру с 3D-рендерингом, звуком и встроенным редактором уровней. Обфусцированные классы, использование RC4/AES и сбор системных сведений выглядели настораживающе, однако соответствовали логике защиты от читов и модификаций. Вредоносного поведения не обнаружено.
SVG — противоположность по духу и эпохе: открытый стандарт для веба и дизайна. Именно поэтому его предпочитают злоумышленники. За последние 30 дней VirusTotal получил 140 803 ранее неизвестных уникальных SVG-файлов, из них 1 442 были отмечены хотя бы одним движком. Один из образцов не был обнаружен ни одним движком, но при рендеринге запускал встроенный скрипт, который декодировал и встраивал фишинговую HTML-страницу, копирующую портал колумбийской судебной системы. Для правдоподобности страница имитировала загрузку документов с прогресс-баром, а в фоновом режиме загружался ZIP-архив и принудительно предлагался к скачиванию. Поведение подтверждено в песочнице: визуальные элементы, номера дел, «токены безопасности» — всё на месте, хотя это всего лишь SVG-изображение.
По данным VirusTotal, это не единичный случай. Запрос типа type:svg с упоминанием Колумбии вывел 44 уникальных SVG, все без срабатываний антивирусов, но с одинаковой тактикой: обфускация, полиморфизм, объёмный «мусорный» код для увеличения энтропии. При этом в скриптах остались испаноязычные комментарии вроде «POLIFORMISMO_MASIVO_SEGURO» и «Funciones dummy MASIVAS» — уязвимое место, пригодное для простой YARA-сигнатуры.
Поиск за год дал 523 совпадения. Самый ранний образец датирован 14 августа 2025 года, также загружен из Колумбии и также прошёл без детекций. Повторный анализ подтвердил ту же схему фишинга и скрытой загрузки. Ранние экземпляры были крупнее — около 25 МБ, затем размер снижался, что говорит о доработке полезной нагрузки. Канал доставки — электронная почта, что позволило связать цепочку по метаданным отправителей, темам и именам вложений.
- Источник новости
- www.securitylab.ru
