Злоумышленники используют SVG-файлы для скрытой доставки вредоносного ПО в Колумбии

Целевая кампания была направлена на колумбийских пользователей с использованием приманки в виде судебного уведомления. Атака отличается тщательной проработкой географических и институциональных деталей, что делает фишинговое сообщение более правдоподобным для целевых жертв. Многостадийная атака последовательно использует SVG, HTA, VBS и PowerShell для загрузки и декодирования загрузчика, который в конечном итоге внедряет AsyncRAT в легитимный процесс Windows, успешно обходя системы обнаружения.

Начальным вектором атаки стало фишинговое электронное письмо, имитирующее судебное уведомление от «Juzgado 17 Civil Municipal del Circuito de Bogotá» (17-й муниципальный гражданский суд округа Богота). Столица Колумбии была выбрана не случайно - именно там расположены многие государственные учреждения, включая суды, министерства и другие официальные инстанции. Текст письма на испанском языке содержал формальные юридические формулировки и институциональные названия, что характерно для официальных судебных уведомлений.

Вложение представляло собой SVG-файл с названием «Fiscalia General De La Nacion Juzgado Civil 17.svg» («Генеральная прокуратура Гражданский суд 17.svg»). SVG-файлы используют XML-код для описания графических элементов, что делает их удобным инструментом для злоумышленников, поскольку многие традиционные системы безопасности не проверяют такие файлы на наличие вредоносного кода.

При открытии SVG-файла в веб-браузере жертва перенаправлялась на поддельную веб-страницу, имитирующую сайт Генеральной прокуратуры и портала гражданских обращений. Страница содержала фиктивные поля, включая номер консультации, и призыв загрузить документ. Код SVG-файла включал JavaScript-функцию, которая декодировала встроенные данные Base64 и создавала временный URL для следующего этапа атаки.

На следующем этапе открывалась HTML-страница, имитирующая официальный просмотрщик документов судебной власти с фальшивым индикатором выполнения, создавая видимость законной загрузки. При загрузке страница декодировала blob-объект Base64 и принудительно загружала файл DOCUMENTO_OFICIAL_JUZGADO.HTA. HTA-файлы могут выполнять произвольные сценарии Windows, что делает их опасным инструментом в руках злоумышленников.

HTA-файл содержал значительное количество мусорного кода, за которым скрывался вредоносный скрипт с большим фрагментом данных в кодировке Base64. После декодирования эти данные сохранялись как actualiza.vbs. Visual Basic Script, в свою очередь, содержал повторяющиеся строки мусорного кода и записывал скрипт PowerShell в файл veooZ.ps1.

Скрипт PowerShell подключался к домену dpaste и загружал текстовый файл Ysemg.txt. После очистки и декодирования содержимое файла превращалось в сборку .NET с именем classlibrary3.dll, которая действовала как загрузчик модулей. Этот компонент получал инжектор и полезную нагрузку AsyncRAT, затем выполнял внутрипроцессное внедрение RAT в MSBuild.exe. Запуск трояна удаленного доступа внутри доверенного процесса обеспечивал злоумышленникам устойчивость и скрытность.

Анализ загрузчика показал наличие техник противодействия анализу, включая проверку процессов VirtualBox и VMware. Код также содержал механизмы обеспечения устойчивости, такие как добавление в автозагрузку через реестр или создание ярлыков в папке автозагрузки, хотя в данном случае эти функции не были активированы.

Загрузчик использовал сложные методы обфускации, включая операции XOR и сдвига, для скрытия своих функций. Он загружал два дополнительных файла - инжектор и саму полезную нагрузку AsyncRAT. Инжектор выполнял внедрение кода AsyncRAT в процесс MSBuild.exe, используя технику отраженной загрузки сборок.

AsyncRAT представляет собой троян удаленного доступа, написанный на C#, который предоставляет стандартные функции кражи данных и удаленного управления. Проанализированный образец содержал анти-отладочные проверки, обход AMSI, проверку доступности веб-камеры, механизмы прекращения работы процессов мониторинга и сбора системной информации. Для обеспечения устойчивости троян либо создавал запланированную задачу, либо добавлял запись в реестр, в зависимости от привилегий текущего процесса.

Собранные данные упаковывались в MessagePack объект и передавались через TLS-соединение, причем большие сообщения разделялись на части перед передачей. Динамическая загрузка плагинов с сервера управления и контроля демонстрирует гибкость и адаптивность данной угрозы.

Эта кампания подчеркивает растущую сложность фишинговых атак, где злоумышленники комбинируют социальную инженерию с техническими методами обхода защиты. Использование многостадийной цепочки с минимальным обнаружением на каждом этапе позволяет эффективно доставлять вредоносную нагрузку, оставаясь незамеченными для традиционных систем безопасности.

MD5

• 5fad0c5b6e5a758059c5a4e633424555
• 6da792b17c4bba72ca995061e040f984
• 817081c745aa14fcb15d76f029e80e15
• b1ed63ee45ec48b324bf126446fdc888
• f3b56b3cfe462e4f8a32c989cd0c5a7c
• fe0fc2949addeefa6506b50215329ed9