Virustotal, Kolombiya’nın kötü amaçlı yazılım sunan yargı sistemini taklit eden ikna edici portallar oluşturan SVG dosyalarında gizli bir kimlik avı kampanyası keşfetti.
Virustotal, AI Kodu Insight platformuna SVGS için destek ekledikten sonra bu kampanyayı tespit etti.
Virustotal’ın AI Kodu Insight özelliği, dosyalarda bulunan şüpheli veya kötü niyetli davranışların özetlerini oluşturmak için makine öğrenimi kullanarak yüklenen dosya örneklerini analiz eder.
SVG’ler için destek ekledikten sonra Virustotal, antivirüs taramaları tarafından sıfır algılamaya sahip olan, ancak AI destekli kod içgörü özelliği HTML görüntülemek için JavaScript kullanılarak tespit edilen ve Kolombiya Hükümeti Yargı Sistemi için bir portal taklit eden bir SVG dosyası buldu.
Kaynak: Virustotal
SVG veya ölçeklenebilir vektör grafikleri, dosyadaki metin matematiksel formüller aracılığıyla satır, şekil ve metin görüntüleri oluşturmak için kullanılır.
Bununla birlikte, tehdit aktörleri, SVG dosyalarını saldırılarda kullanmaya giderek daha fazla başladı, çünkü HTML’yi görüntülemek için de kullanılabilirler.
Virustotal tarafından keşfedilen kampanyada, SVG görüntü dosyaları, sahte bir indirme çubuğu görüntüleyen sahte portalları oluşturmak için kullanılır ve sonuçta kullanıcının şifre korumalı bir fermuar arşivi indirmesini ister [VirusTotal]. Bu dosyanın şifresi sahte portal sayfasında görüntülenir.
Virustotal, “Aşağıdaki ekran görüntülerinde gösterildiği gibi, sahte portal tam olarak açıklandığı gibi oluşturulur ve resmi bir hükümet belgesi indirme sürecini simüle eder.”
“Kimlik avı sitesi, hepsi bir SVG dosyasında hazırlanmış olan güven oluşturmak için vaka numaraları, güvenlik jetonları ve görsel ipuçlarını içerir.”
Kaynak: Virustotal
BleepingComputer, çıkarılan dosyanın dört dosya içerdiğini buldu: resmi bir yargı belgesi olarak yeniden adlandırılan Comodo Dragon web tarayıcısından meşru bir yürütülebilir, kötü niyetli bir DLL [VirusTotal]ve iki şifreli dosya gibi görünen şey.
Kaynak: BleepingComputer
Kullanıcı yürütülebilir dosyayı açarsa, kötü amaçlı DLL, sisteme daha fazla kötü amaçlı yazılım yüklemek için kenar yüklenir.
Bu ilk SVG’yi tespit ettikten sonra Virustotal, aynı kampanyanın bir parçası olan ancak güvenlik yazılımı tarafından tespitten kaçınmış olan 523 daha önce yüklenmiş SVG dosyalarını tanımladı.
Virustotal, AI kullanımının yeni kötü amaçlı kampanyaların tanımlanmasını kolaylaştırdığını belirttiği gibi, AI kod bilgilerine SVG desteğinin eklenmesi bu özel kampanyanın ortaya çıkmasında çok önemliydi.
“Kod içgörü en çok yardımcı olur: bağlam vermek, zamandan tasarruf etmek ve gerçekten neyin önemli olduğuna odaklanmaya yardımcı olmak. Sihir değil ve uzman analizinin yerini almayacak, ancak gürültüyü kesmek ve daha hızlı ulaşmak için bir araç daha,” diye bitiriyor Virustotal.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.