Поделиться
Обнаружен невидимый для антивирусов троян, показывающий поддельные сайты госорганизаций
Специалисты по ИБ обнаружили более 500 псевдокартинок в векторном формате SVG, которые в действительности являются убедительными вредоносными клонами сайта госструктуры одной из стран Латинской Америки. На значительную их часть антивирусы не реагируют.Фишеры вновь обращаются к SVG
Сервис по выявлению угроз безопасности VirusTotal сообщил о новой фишинговой кампании, в которой графические файлы формата SVG используются для отображения клонов сайтов государственных организаций, в частности порталов, относящихся к судебной системе Колумбии. Последние, в свою очередь, осуществляют доставку вредоносного ПО на ПК обманутых пользователей, пишет Bleeping Computer.
VirusTotal удалось установить вредоносный характер более чем 523 ранее загруженных на платформу SVG-файлов. 44 из них на момент регистрации в сервисе не распознавались ни одним из существующих антивирусных движков в качестве угрозы.
Как отмечает Bleeping Computer, выявить вредоносные SVG-файлы удалось благодаря включению поддержки этого формата в систему AI Code Insight, которая выполняет анализ образцов, загруженных на платформу, с помощью машинного обучения и сообщает о наличии подозрительных паттернов в их содержимом.
Как проходит атака
SVG (Scalable Vector Graphics) – формат векторной графики. Современные браузеры, а также некоторые графические редакторы поддерживают этот формат по умолчанию. Веб-обозреватели рассматривают SVG-файлы как стандартный и доверенный веб-контент. В отличие от более распространенных в Сети форматов растровой графики, таких как JPG, PNG или GIF, файлы SVG содержат текстовое описание изображения на языке разметки XML, благодаря чему масштабирование картинки при необходимости выполняется без потери качества.
Помимо XML-кода, SVG-файлы могут содержать код на языках HTML и JavaScript, что позволяет злоумышленникам использовать их в качестве инструмента для осуществления кибератак на ничего не подозревающих пользователей – с использованием технологий межсайтового скриптинга (XSS), HTML-инъекций.
Один из обнаруженных VirusTotal SVG-файлов с высокой степенью убедительности имитировал страницу сайта Офиса генерального прокурора Колумбии (Fiscalía General de la Nación), позволяющую загрузить некий документ-уведомление от госструктуры на компьютер пользователя. На соответствующей странице, в частности, были размещены индикатор выполнения операции, кнопка загрузки документа, а также а пароль для просмотра загруженного файла.
При нажатии на кнопку загрузки на ПК пользователя загружался архив формата ZIP, защищенный упомянутым выше паролем и содержащий четыре файла. Среди них копия исполняемого файла (.EXE), принадлежащего легитимному браузеру Comodo Dragon, с названием, отсылающим к юридическому документу; динамическая библиотека dragon_util.dll с вредоносным содержимым, а также два файла с зашифрованным содержимым с расширениями .PT и .YJ соответственно.
Запуск EXE-файла приводит также к запуску вредоносной библиотеки, которая впоследствии устанавливает следующую порцию вредоносного ПО в систему. По информации VirusTotal, исходный код вредоносных SVG-файлов подвергся обфускации со стороны автора, а также содержал большое количество не несущей какой-либо нагрузки информации – «мусорного» кода, нацеленной на затруднение детекции вредоноса при помощи методов статического анализа.
Не единичный случай
В последнее время злоумышленники все чаще используют SVG-файлы со встроенным JavaScript-кодом для проведения фишинговых кампаний.
Так, в середине августа 2025 г. CNews писал, что специалисты ИБ-компании Malwarebytes обнаружили несколько порнографических сайтов, распространяющих особым образом подготовленные SVG-файлы такого рода. При открытии встроенные в них скрипты позволяли ставить «лайки» в одной из зарубежных социальных сетей от имени пользователя, притом совершенно незаметно для него.
В марте 2024 г. CNews сообщил, что через SVG-файлы распространялся вредонос GUIloader, печально знаменитый своей скрытностью и способностью обходить стандартные средства защиты благодаря полиморфному коду и шифрованию.
В начале 2025 г. сервис IBM X-Force обнаружил фишинговую кампанию с использованием SVG-файлов, нацеленную на банки и страховые компании. Сервис Cloudforce One компании Cloudflare зафиксировал резкий всплеск интереса киберзлоумышленников к SVG-файлам как вектору атаки. Похожую тенденцию наблюдали и в российской ИБ-компании «Газинформсервис», эксперты которой пришли к выводу о том, что с начала 2025 г. идет рост числа атак с использованием SVG.
Как отмечает Tom’s Hardware поставщики антивирусных решений, такие как Sophos, после обнаружения вредоносных SVG внесли изменения в правила детектирования угроз соответствующих ИБ-продуктов. Корпорация Microsoft выбрала для решения проблемы довольно радикальный подход, запретив отображение содержимого файлов SVG в почтовом сервисе Outlook с сентября 2025 г.
Поделиться
Короткая ссылка
