Kolombiyalı kurumları beklenmedik bir vektör aracılığıyla hedefleyen gelişmiş bir kötü amaçlı yazılım kampanyası: Geleneksel antivirüs tespitinden başarılı bir şekilde kaçan silahlı SWF ve SVG dosyaları.
Keşif, Virustotal’ın yeni geliştirilmiş kod içgörü platformu aracılığıyla ortaya çıktı ve bu vektör tabanlı dosya formatlarını analiz etmek için destek ekledi, tıpkı saldırganlar Kolombiya adalet sistemini taklit etmek için onları sömürmeye başladığında.
Adobe, 2020’de flaşı resmen bırakmasına ve kısa bir süre sonra desteği sona erdiren tarayıcılara rağmen, SWF dosyaları kötü amaçlı yazılım kampanyalarında ortaya çıkmaya devam ediyor.
Virustotal, 47.812 benzersiz SWF dosyasını sadece son ayda işledi ve 466 en az bir antivirüs motoru tarafından kötü niyetli olarak işaretlendi.
Bu kalıcılık, siber suçluların unutulmuş teknolojileri kendi yararlarına nasıl kullandıklarını ve kullanımdan kaldırılmış formatlar için güvenlik odağının azalmasına yönelik bankacılık olduğunu göstermektedir.
SWF dosyalarını analiz etmenin teknik karmaşıklığı, güvenlik araştırmacıları için önemli zorluklar sunmaktadır. Bu ikili, derlenmiş dosyalar, anlamlı zeka çıkarmak için sofistike açma işlemleri gerektirir.
Güvenlik platformları, analiz başlamadan önce ZLIB veya LZMA sıkıştırma, dahili etiket yapılarını ayrıştırmalı ve gömülü ActionScript kodunu çıkarmalıdır.
SVG: Modern Saldırı Vektörü
SWF eski teknoloji kullanan saldırıları temsil ederken, SVG dosyaları daha çağdaş bir tehdit oluşturur.
Aktif bir web standardı olarak, SVG dosyaları meşru görünür ve güvenlik şüphelerini nadiren tetikler. Virustotal, geçen ay 140.803 benzersiz SVG dosyası aldı ve 1.442 kötü niyetli davranış gösterdi – SWF dosyalarıyla aynı yaklaşık% 1 algılama oranını ortaya koydu.
SVG dosyalarının XML tabanlı doğası onları saldırganlar için özellikle cazip hale getiriyor. Kötü amaçlı kod, komut dosyası etiketlerine, olay işleyicilerine JavaScript aracılığıyla gömülebilir veya CDATA bölümleri ve Base64 yükleri içinde gizlenebilir.
SVG içeriği düz metin olarak göründüğünden, kötü niyetli mantığı meşru grafik kodundan ayırmak, sofistike analiz özellikleri gerektirir.
En endişe verici keşif, özellikle sahte hükümet portalları aracılığıyla Kolombiya vatandaşlarını hedefleyen koordineli bir kimlik avı kampanyası içeriyor.
Kötü niyetli SVG, oluşturma işleminde çok aşamalı bir saldırı yürütür. İlk olarak, hükümet portalını ikna edici bir şekilde çoğaltan baz 64 kodlu bir HTML kimlik avı sayfasını çözer ve enjekte eder.
Mağdurlar sahte arayüzle etkileşime girerken, meşru yasal belgeler indirdiklerine inanırken, kötü amaçlı yazılım aynı anda ikinci bir yükü çözüyor – arka planda otomatik olarak indirilen kötü niyetli bir fermuar arşivi.
Virustotal Zeka, Kod Insight raporlarına bakan sorgular da dahil olmak üzere yüzlerce parametre kullanarak büyük örnek koleksiyonumuzu araştırabiliriz.
Soruşturma, bunun izole bir olay olmadığını ortaya koydu. Gelişmiş arama özelliklerini kullanarak araştırmacılar, hepsi geleneksel antivirüs çözümleri tarafından tespit edilmeyen ancak davranışsal analiz yoluyla tanımlanan 44 ek benzersiz SVG dosyası keşfettiler.
Kampanya, kod gizlemesi, polimorfik varyasyonlar ve dosya entropisini arttırmak ve statik algılama yöntemlerinden kaçmak için tasarlanmış önemli miktarda kukla kod dahil olmak üzere net bir sofistike belirtiler gösterdi.
Teknik Kaçma Taktikleri
Saldırganlar güvenlik algılama mekanizmalarının ileri düzeyde anlaşıldığını gösterdiler. Her kötü niyetli dosya, temel işlevselliği korurken biraz farklı kod yapıları içeriyordu-imza tabanlı algılamayı önleyen polimorfizm olarak bilinen bir teknik.
Gönderme süresine göre sıralama, ilk örnek 14 Ağustos 2025’e kadar uzanır, ayrıca Kolombiya’dan ve o sırada 0 antivirüs tespiti ile birlikte.
Güvenlik araştırmacıları, otantik görünümlü vaka numaraları, güvenlik belirteçleri ve resmi marka ile tamamlanan Kolombiyalı mali de la nación’u (Başsavcı Ofisi) mükemmel bir şekilde taklit eden tespit edilmemiş bir SVG dosyası belirlediler.
“Poliformismo_masivo_seguro” (büyük güvenli polimorfizm) gibi ifadeler de dahil olmak üzere kaynak kodda keşfedilen İspanyolca yorumları, saldırganların metodolojisi hakkında bilgi verdi ve sonunda tespit imzaları oldu.
Bu sofistike kaçırma tekniklerine rağmen, kötü amaçlı yazılım yazarları kritik operasyonel güvenlik hataları yaptılar.
Tüm örneklerdeki tutarlı yorum kalıpları, araştırmacıların yaklaşık bir yıllık faaliyet yılı kapsayan 523 ilgili dosyayı tanımlayan tespit kuralları geliştirmelerini sağladı.
Ağustos 2025’e tarihlenen en eski numuneler yaklaşık 25 MB’de önemli ölçüde daha büyüktü, bu da devam eden yük artışı ve optimizasyonunu düşündürmektedir.
Dağıtım mekanizmalarının analizi, kötü amaçlı SVG dosyaları için birincil dağıtım vektörü olarak e -postayı ortaya çıkardı.
Bu yaklaşım, saldırganların teknik sömürü ile birlikte sosyal mühendislikten yararlanarak, resmi görünümlü hükümet yazışmaları olan alıcıları hedefleyerek başarı oranlarını artırmasına olanak tanır.
E -posta teslimi ve hükümet taklit etme kombinasyonu, özellikle dijital okuryazarlığın sınırlı olabileceği bölgelerde oldukça etkili bir saldırı vektörü yaratır.
Kampanyanın Kolombiya kurumlarına odaklanması, hedefli istihbarat toplama veya finansal sahtekarlık operasyonlarını önermektedir.
Hükümet kimliğine bürünme saldırıları genellikle çeşitli suç işletmeleri aracılığıyla para kazanılabilecek hassas kişisel bilgileri, bankacılık kimlik bilgilerini veya kimlik belgelerini hasat etmeyi amaçlamaktadır.
Hafifletme
Geleneksel antivirüs çözümleri bu saldırılarla mücadele ediyor çünkü büyük ölçüde yürütülebilir dosyaların imzaya dayalı tespit ve davranışsal analizine güveniyorlar.
Metin tabanlı grafik formatları olan SVG dosyaları, genellikle güvenlik araçlarından minimum inceleme alır. Şüpheli olsa bile, JavaScript’in SVG dosyalarındaki meşru kullanımları, kötü niyetli davranışları ayırt etmeyi sofistike analiz yetenekleri olmadan son derece zorlaştırır.
Bu kampanyanın başarısı, mevcut siber güvenlik savunmalarındaki kritik boşlukları vurgulamaktadır. Kuruluşlar, belge biçimlerini, grafik dosyalarını ve kötü niyetli yükleri taşıyabilecek diğer iyi huylu içerik türlerini içerecek şekilde güvenlik duruşlarını geleneksel yürütülebilir kötü amaçlı yazılımların ötesine genişletmelidir.
Bu keşif, kötü amaçlı yazılım dağılımında format çeşitliliğine yönelik daha geniş bir eğilimi temsil etmektedir.
Güvenlik araçları geleneksel saldırı vektörlerine karşı daha etkili hale geldikçe, siber suçlular daha az izlenen dosya türlerinden yararlanarak ve teknik kontrolleri atlamak için sosyal mühendisliği kullanarak sürekli olarak adapte olurlar.
Kolombiya kampanyası, saldırganların yetersiz korunan saldırı yüzeylerini belirlediklerinde nispeten basit tekniklerle nasıl dikkate değer bir başarı elde edebileceğini göstermektedir.
Haftalar veya aylar boyunca birden fazla antivirüs motorundaki sıfır algılama oranları, mevcut güvenlik altyapılarının, çıkarılamayan dosya biçimlerinin analizinde önemli iyileştirmeler gerektirdiğini göstermektedir.
Güvenlik uzmanları, etkili siber güvenliğin, kodu yürütebilen veya kullanıcı sistemlerini manipüle edebilen tüm dosya türleri ve formatlarında kapsamlı bir kapsam gerektirdiğini kabul etmelidir.
Teknik karmaşıklıkların sosyal mühendislik taktikleri ile birleşimi, hem teknolojik çözümler hem de kullanıcı eğitimi girişimlerini talep eden özellikle tehlikeli tehditler yaratır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.