VirusTotal Code Insight выявило сложную кампанию колумбийского вредоносного ПО, которая использовала как устаревший формат SWF, так и современный SVG для обхода традиционных антивирусных систем обнаружения.
Это подчеркивает, как атакующие продолжают использовать разнообразные форматы файлов для распространения вредоносного ПО, одновременно обходя меры безопасности.
Кампания по имитации государственных органов направлена на систему правосудия:
Кампания, обнаруженная сразу после того, как VirusTotal ввел поддержку Code Insight для форматов SWF и SVG, сосредоточена на SVG-файлах, имитирующих колумбийскую систему правосудия.
Несмотря на полное отсутствие обнаружения всеми 63 антивирусными движками, анализ Code Insight раскрыл злонамеренный характер этих файлов.
Атака начинается с SVG-файла, содержащего встроенный JavaScript, который выполняется при рендеринге. Скрипт декодирует и вводит HTML-страницу для фишинга, закодированную в Base64, предназначенную для имитации официальных порталов судебной системы Колумбии.
Для повышения достоверности фальшивый портал имитирует загрузку документов, включая индикаторы прогресса, номера дел и токены безопасности.
В то время как пользователи считают, что получают доступ к легитимным государственным документам, вредоносный код одновременно декодирует вторую строку Base64, содержащую ZIP-архив, и принудительно инициирует его загрузку. Этот двухслойный подход сочетает убедительные фишинговые тактики с распространением вредоносного ПО.
Технический анализ раскрывает сложные техники обхода обнаружения:
Поиски VirusTotal Intelligence с использованием запроса “type:svg AND codeinsight:’Colombian'” выявили 44 уникальных SVG-файла, все из которых не были обнаружены антивирусными движками, но были отмечены Code Insight как часть одной и той же кампании.
Анализ исходного кода выявил сложные техники обхода, включая обфускацию кода, полиморфизм с небольшими вариациями для каждого файла, а также большое количество "пустого" ("dummy") кода для увеличения энтропии и предотвращения статического обнаружения.
Интересно, что атакующие оставили комментарии на испанском языке в своих скриптах, включая фразы, такие как “POLIFORMISMO_MASIVO_SEGURO” и “Funciones dummy MASIVAS.” Хотя большинство кода изменялось между образцами, эти комментарии оставались неизменными, предоставляя четкий сигнал для правил обнаружения.
Базовое правило YARA, направленное на эти постоянные комментарии, выявило 523 дополнительных образца за последний год благодаря ретроисследованию. Самый ранний образец, датируемый 14 августа 2025 года, также был отправлен из Колумбии, и в то время он не был обнаружен ни одним антивирусным движком.
Кампания также использовала файлы SWF, несмотря на прекращение Adobe поддержки Flash в 2020 году. VirusTotal получил 47,812 уникальных файлов SWF за последние 30 дней, из которых 466 были отмечены как вредоносные. Аналогично, 140,803 уникальных файлов SVG были отправлены, из которых 1,442 показали вредоносные обнаружения, что составляет примерно 1% для обоих форматов.
Способность Code Insight анализировать как бинарные файлы SWF через декомпиляцию, так и текстовые файлы SVG через извлечение JavaScript подчеркивает продолжающуюся важность поддержки разнообразных форматов файлов в анализе безопасности, так как атакующие эксплуатируют как устаревшие, так и современные технологии для эффективного распространения вредоносного ПО.
- Источник: https://cyberpress.org/colombian-malware/
Это подчеркивает, как атакующие продолжают использовать разнообразные форматы файлов для распространения вредоносного ПО, одновременно обходя меры безопасности.
Кампания по имитации государственных органов направлена на систему правосудия:
Кампания, обнаруженная сразу после того, как VirusTotal ввел поддержку Code Insight для форматов SWF и SVG, сосредоточена на SVG-файлах, имитирующих колумбийскую систему правосудия.
Несмотря на полное отсутствие обнаружения всеми 63 антивирусными движками, анализ Code Insight раскрыл злонамеренный характер этих файлов.
Атака начинается с SVG-файла, содержащего встроенный JavaScript, который выполняется при рендеринге. Скрипт декодирует и вводит HTML-страницу для фишинга, закодированную в Base64, предназначенную для имитации официальных порталов судебной системы Колумбии.
Для повышения достоверности фальшивый портал имитирует загрузку документов, включая индикаторы прогресса, номера дел и токены безопасности.
В то время как пользователи считают, что получают доступ к легитимным государственным документам, вредоносный код одновременно декодирует вторую строку Base64, содержащую ZIP-архив, и принудительно инициирует его загрузку. Этот двухслойный подход сочетает убедительные фишинговые тактики с распространением вредоносного ПО.
Технический анализ раскрывает сложные техники обхода обнаружения:
Поиски VirusTotal Intelligence с использованием запроса “type:svg AND codeinsight:’Colombian'” выявили 44 уникальных SVG-файла, все из которых не были обнаружены антивирусными движками, но были отмечены Code Insight как часть одной и той же кампании.
Анализ исходного кода выявил сложные техники обхода, включая обфускацию кода, полиморфизм с небольшими вариациями для каждого файла, а также большое количество "пустого" ("dummy") кода для увеличения энтропии и предотвращения статического обнаружения.
Интересно, что атакующие оставили комментарии на испанском языке в своих скриптах, включая фразы, такие как “POLIFORMISMO_MASIVO_SEGURO” и “Funciones dummy MASIVAS.” Хотя большинство кода изменялось между образцами, эти комментарии оставались неизменными, предоставляя четкий сигнал для правил обнаружения.
Базовое правило YARA, направленное на эти постоянные комментарии, выявило 523 дополнительных образца за последний год благодаря ретроисследованию. Самый ранний образец, датируемый 14 августа 2025 года, также был отправлен из Колумбии, и в то время он не был обнаружен ни одним антивирусным движком.
Кампания также использовала файлы SWF, несмотря на прекращение Adobe поддержки Flash в 2020 году. VirusTotal получил 47,812 уникальных файлов SWF за последние 30 дней, из которых 466 были отмечены как вредоносные. Аналогично, 140,803 уникальных файлов SVG были отправлены, из которых 1,442 показали вредоносные обнаружения, что составляет примерно 1% для обоих форматов.
Способность Code Insight анализировать как бинарные файлы SWF через декомпиляцию, так и текстовые файлы SVG через извлечение JavaScript подчеркивает продолжающуюся важность поддержки разнообразных форматов файлов в анализе безопасности, так как атакующие эксплуатируют как устаревшие, так и современные технологии для эффективного распространения вредоносного ПО.
- Источник: https://cyberpress.org/colombian-malware/
