Недавняя кампания по распространению вредоносного ПО, прокатившаяся по Латинской Америке, наглядно демонстрирует, как киберпреступники совершенствуют свои методы.
Но начнем с того, что не является новостью: атаки полагаются на социальную инженерию. Жертвы получают письма, которые выглядят так, будто пришли из доверенных учреждений. В сообщениях чувствуется срочность, в них предупреждают о судебных исках или вручают повестки в суд. Это, конечно, проверенная тактика, нацеленная на то, чтобы напугать получателей и заставить их кликнуть по ссылкам или открыть вложения, не задумываясь.
Конечная цель многоэтапной кампании — установка AsyncRAT, трояна удаленного доступа (RAT), который, как описывали исследователи ESET, позволяет злоумышленникам удаленно контролировать зараженные устройства. Этот RAT, впервые замеченный в 2019 году и имеющий множество вариантов, может записывать нажатия клавиш, делать снимки экрана, захватывать камеры и микрофоны, а также красть учетные данные, хранящиеся в веб-браузерах.
Пока всё очень знакомо. Однако одна вещь, отличающая эту кампанию от большинства подобных, — это использование больших SVG-файлов (Scalable Vector Graphics), содержащих «полный пакет». Это избавляет от необходимости внешних подключений к удаленному C&C-серверу для отправки команд зараженным устройствам или загрузки дополнительных вредоносных полезных нагрузок. Злоумышленники, похоже, также в некоторой степени полагаются на инструменты искусственного интеллекта (ИИ) для генерации индивидуальных файлов для каждой цели.
SVG как вектор доставки
Атаки с использованием вредоносных изображений в целом, таких как JPG или PNG, — не новость, и это не первый случай, когда SVG-файлы специально использовались для доставки RAT и другого вредоносного ПО. Эта техника, называемая «SVG-смоглинг», недавно была добавлена в базу MITRE ATT&CK после того, как была замечена в растущем числе атак.
Но что делает SVG таким привлекательным для злоумышленников? SVG — это универсальные, легкие векторные графические файлы, написанные на языке eXtensible Markup Language (XML), удобные для хранения текста, форм и масштабируемой графики, отсюда и их использование в веб- и графическом дизайне. Возможность SVG-приманок содержать скрипты, встроенные ссылки и интерактивные элементы делает их идеальными для злоупотреблений, одновременно повышая шансы на обнаружение некоторыми традиционными инструментами безопасности.
Эта конкретная кампания, в основном нацеленная на Колумбию, начинается с якобы легитимного электронного письма с вложением SVG. При нажатии на файл, который обычно весит более 10 МБ, открывается не простая графика, диаграмма или иллюстрация — вместо этого ваш веб-браузер (где SVG-файлы загружаются по умолчанию) отображает портал, маскирующийся под судебную систему Колумбии. Вы даже увидите «рабочий процесс» с поддельными страницами проверки и индикатором выполнения.
Один из таких SVG-файлов (SHA1: 0AA1D24F40EEC02B26A12FBE2250CAB1C9F7B958) обнаружен продуктами ESET как JS/TrojanDropper.Agent.PSJ. После нажатия на него запускается процесс, и через несколько мгновений ваш веб-браузер скачивает ZIP-архив, защищенный паролем (Рисунок 2).
Пароль для открытия ZIP-архива удобно отображается прямо под сообщением «Загрузка завершена» (Рисунок 3), возможно, чтобы усилить иллюзию подлинности. Он содержит исполняемый файл, который после запуска продвигает атаку на шаг вперед, чтобы в конечном итоге заразить устройство с помощью AsyncRAT.
Кампания использует технику, известную как DLL sideloading (подгрузка DLL), при которой легитимному приложению поручается загрузка вредоносной полезной нагрузки, позволяя последней сливаться с обычным поведением системы, в надежде избежать обнаружения.
Наши данные телеметрии обнаружения (Рисунок 4) показывают, что эти кампании достигли пика в середине недели в течение августа, причем Колумбия пострадала больше всего. Эта закономерность предполагает, что злоумышленники проводят эту операцию систематически.
За дроппером
Типичные фишинговые кампании и кампании по распространению вредоносного ПО рассылают одно и то же вложение бесчисленным адресатам. Здесь каждая жертва получает разный файл. Хотя все они следуют одному и тому же сценарию, каждый файл наполнен случайными данными, что делает каждый образец уникальным. Эта случайность, вероятно, включает использование комплекта, который генерирует файлы по запросу, также предназначена для усложнения работы для продуктов безопасности и защитников.
Как уже упоминалось, полезная нагрузка не извлекается извне — вместо этого она встроена в сам XML и собирается «на лету». Взгляд на XML также выявляет странности, такие как стандартный текст, пустые поля, повторяющиеся имена классов и даже некоторые «хэши проверки», которые оказываются недействительными строками MD5, предполагая, что это могут быть результаты, сгенерированные LLM.
Извлеченные уроки
Упаковывая все в самодостаточные, безобидно выглядящие SVG-файлы и, возможно, используя шаблоны, сгенерированные ИИ, злоумышленники стремятся масштабировать свои операции и повысить уровень обмана.
Урок здесь прост: бдительность — это ключ. Избегайте кликов по нежелательным ссылкам и вложениям, особенно когда сообщения используют срочный язык. Кроме того, относитесь к SVG-файлам с крайней подозрительностью; на самом деле, ни одно официальное государственное учреждение не отправит вам SVG-файл в качестве вложения к электронной почте. Распознавание этих основных предупреждающих знаков может стать разницей между тем, чтобы избежать ловушки, и передачей ключей от вашего устройства злоумышленникам.
Конечно, сочетайте эту бдительность с базовыми практиками кибербезопасности, такими как использование надежных и уникальных паролей, а также двухфакторной аутентификации (2FA) везде, где это возможно. Программное обеспечение безопасности на всех ваших устройствах также является обязательной линией обороны от всевозможных киберугроз.
