Siber suçlular, görünüşte zararsız vektör grafiklerini tehlikeli kötü amaçlı yazılım dağıtım sistemlerine dönüştüren yeni bir aldatıcı teknik benimsedi.
Latin Amerika’yı hedefleyen yeni bir kampanya, saldırganların kapsamlı sistem uzlaşmasına sahip güçlü bir uzaktan erişim Truva atı olan Asyncrat’ı dağıtmak için gömülü kötü niyetli yükler içeren büyük boyutlu SVG dosyalarını nasıl kullandıklarını gösteriyor.
Kampanya, hayali yasal işlemler veya mahkeme çağrıları etrafında aciliyet yaratmak için meşru kurumları, özellikle yargı sistemlerini taklit eden özenle hazırlanmış kimlik avı e -postalarıyla başlıyor.
Mağdurlar, davaların veya resmi belgelerin hemen dikkat gerektiren mesajlar alır ve alıcıları uygun inceleme yapmadan ekli SVG dosyalarını açmaya zorlar.
Harici komut ve kontrol altyapısı gerektiren geleneksel kötü amaçlı yazılım kampanyalarının aksine, bu silahlandırılmış SVG dosyaları kendi içlerinde tam kötü amaçlı paketler içerir.
SVG kaçakçılığı olarak bilinen teknik, ölçeklenebilir vektör grafiklerinin XML tabanlı doğasını, komut dosyalarını, etkileşimli öğeleri ve kodlanmış yükleri doğrudan masum bir görüntü dosyası gibi görünen şeylere kullanır.
.webp)
Welivearity analistleri, bu dosyaların genellikle 10 MB boyutunu aştığını, tipik grafiklerden çok daha büyük olduğunu ve web tarayıcılarında açıldığında hemen sahte hükümet portallarını oluşturduğunu belirtti.
Saldırganlar, bireysel hedefler için özelleştirilmiş dosyalar oluşturmak için yapay zeka araçlarını kullanıyor gibi görünüyor, her bir kurban imza tabanlı algılama sistemlerinden kaçınmak için benzersiz hazırlanmış SVG dosyaları alıyor.
Enfeksiyon mekanizması ve yük dağıtım
Enfeksiyon süreci, kötü niyetli bileşenler indirirken mağdur katılımını sürdürmek için tasarlanmış sofistike bir çok aşamalı iş akışı yoluyla gelişir.
Kullanıcılar SVG ekini tıkladıklarında, varsayılan web tarayıcıları, resmi logolar, hükümet şekillendirme ve dinamik ilerleme göstergeleri ile birlikte Kolombiya’nın yargı sistemini taklit eden ayrıntılı bir sahte portal oluşturur.
Kötü niyetli SVG dosyası, belge doğrulama süreçlerini simüle eden, gerçekçi ilerleme çubuklarını ve “Verifando Documentos ofisiales” ve “% 30 Completado” gibi durum mesajlarını gösteren gömülü JavaScript içerir.
Bu tiyatro ekran sırasında, komut dosyası sessizce nihai asycrat yükünü içeren bir şifre korumalı fermuar arşivi oluşturur ve dağıtır.
Gömülü kod, kod çözülen ve anında monte edilen Base64 kodlu ikili verileri içerir:-
const payloadData = "UESDBBQACQgIAGxD+VpRqIWSufYYACn8GAAxAAAAMDFfREVNQU5EQSBQRU5BTCBQT1IgRUwgSlVaR0FETyAwMS...";
const binaryString = atob(payloadData);
const bytes = new Uint8Array(binaryString.length);Kampanya, meşru uygulamaların kötü amaçlı kütüphaneler yüklediği ve nihai asycrat yükünün normal sistem işlemleriyle karışmasına ve algılamadan kaçmasına izin verdiği DLL kenar yükleme teknikleri kullanır.
Tespit telemetrisi, Ağustos 2025 boyunca hafta ortalarında meydana gelen ve başta Kolombiyalı kullanıcıları hedefleyen saldırı artışları ile sistematik dağıtım modellerini ortaya koyuyor.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
