#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Было идентифицировано одиннадцать вредоносных пакетов Go, использующих запутанные загрузчики для выполнения полезных нагрузок из активных доменов C2, причем восемь из них являются опечатками. Они используют методы выполнения в памяти, чтобы избежать обнаружения, нацеливаясь как на системы Linux, так и на Windows с помощью таких методов, как exec.Command и загрузка полезных нагрузок для эксфильтрации данных. Децентрализованная экосистема Go увеличивает риск интеграции этих угроз, усложняя идентификацию и меры защиты.
-----

Недавнее исследование Socket выявило одиннадцать вредоносных пакетов Go, которые используют запутанные загрузчики для выполнения полезных нагрузок второго этапа, полученных из доменов command-and-control (C2). Из них десять пакетов в настоящее время доступны в модуле Go, причем восемь являются typosquats — злонамеренно разработанными для имитации законных пакетов. Наблюдаемый метод обфускации включает строковый метод на основе индекса, при выполнении которого вредоносный код запускает оболочку и загружает полезную нагрузку второго этапа из набора назначенных конечных точек C2 (в основном используя пути /storage/de373d0df/a31546bf). Примечательно, что шесть из этих URL-адресов C2 остаются активными, что позволяет злоумышленникам использовать любую систему разработки или непрерывной интеграции (CI), которая интегрирует эти пакеты.

Операционный механизм для этих пакетов обычно использует структуру команд "exec.Command("/bin/sh", "-c", с обфускацией)", которая позволяет использовать такие инструменты, как "wget" в системах Unix и "certutil.exe" в Windows, для извлечения и выполнения двоичных файлов. В зависимости от операционной системы, полезной нагрузкой может быть либо сценарий bash, либо исполняемые файлы Windows. Механизм требует, чтобы вредоносный код воздерживался от создания файлов на диске, используя выполнение в памяти, чтобы избежать обнаружения системами безопасности.

Например, определенная полезная нагрузка загружает вредоносный двоичный файл ELF объемом 9,4 МБ с указанного URL-адреса C2, помеченного его хэшем SHA256 (844013025bf7c5d...). Этот двоичный файл предназначен для извлечения системной информации, чтения данных браузера и связи с внешними серверами при реализации одночасовой задержки в качестве тактики Обхода песочницы. Аналогичные вредоносные функции структурированы в различные примеры кодов, с несколькими деобфускациями URL, указывающими на адреса серверов, ранее отмеченные службами обнаружения угроз, такими как VirusTotal.

Децентрализованный характер экосистемы Go усложняет идентификацию вредоносных пакетов. Разработчики часто не могут отличить законный код от вредоносного из-за наличия множества пакетов с похожими названиями и функциональностью, что увеличивает риск случайной интеграции этих угроз в их среду. Многие вредоносные пакеты не демонстрируют существенной активности пользователей или не содержат уникальной документации по сравнению с их безобидными аналогами, что вносит путаницу и затрудняет обеспечение безопасного импорта пакетов.

Потенциал для компрометации охватывает как системы Linux, так и Windows, используя методы, классифицированные по таким тактикам, как T1059.004 (Интерпретатор командной строки и сценариев: Unix Shell) и T1218.010 (Выполнение подписанного двоичного прокси-сервера: Certutil). Исследование иллюстрирует растущую сложность того, как работают эти вредоносные пакеты, и подчеркивает необходимость усиленного контроля в рамках системы управления пакетами Go, чтобы защитить разработчиков от непреднамеренного выполнения вредоносного кода.

#ParsedReport #CompletenessLow
07-08-2025

Shared secret: EDR killer in the kill chain

https://news.sophos.com/en-us/2025/08/06/shared-secret-edr-killer-in-the-kill-chain/

Report completeness: Low

Actors/Campaigns:
Dragonforce

Threats:
Edr-killer
Ransomhub
Qilin_ransomware
Heartcrypt_tool
Av-killer
Royal_ransomware
Medusa_ransomware
Crytox
Lynx
Medusalocker
Simplehelp_tool
Inc_ransomware

Geo:
Hong kong, China

ChatGPT TTPs:
do not use without manual check
T1027, T1140, T1486, T1543.003, T1547.006, T1574.002, T1588.002, T1620

IOCs:
File: 9
Hash: 14
Registry: 2
Path: 9
Command: 1

Algorithms:
sha256, md5, xor, sha1

Win Services:
MsMpEng, SAVService

Links:
https://github.com/sophoslabs/IoCs/blob/master/06082025-edrkiller-iocs.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступные группировки Ransomhub, Qilin, DragonForce и INC сотрудничают, делясь инструментами и знаниями, облегчая сложные операции с программами-вымогателями. Продвинутая вредоносная программа EDR killer, замаскированная под легальное программное обеспечение, отключает антивирусную защиту и нацелена на крупных поставщиков систем безопасности. Уязвимость zero-day в SimpleHelp была использована для первоначального доступа, при этом в последующих инцидентах были отмечены постоянные улучшения тактики уклонения.
-----

Недавние расследования деятельности программ-вымогателей выявили тревожные модели обмена инструментами и сотрудничества между конкурирующими группами, такими как Ransomhub, Qilin, DragonForce и INC. Несмотря на то, что эти группы функционируют как соперники в экосистеме киберпреступников, факты свидетельствуют о том, что они обмениваются техническими знаниями и вредоносными инструментами, способствуя разработке вариантов и стратегий, которые укрепляют их деятельность. Каждая группа, по-видимому, использует различные сборки проприетарных инструментов, все из которых упакованы с использованием HeartCrypt, что указывает на уровень координации или совместного получения ресурсов между ними. Сложность этой экосистемы создает дополнительные проблемы для защитников кибербезопасности, которым поручено отслеживать и нейтрализовывать такие угрозы.

Важным инструментом, выявленным в ходе этих атак, является EDR (Endpoint Detection and Response) killer, в частности, продвинутая вредоносная программа, предназначенная для отключения антивирусной защиты. Этот инструмент часто использовался наряду с программами-вымогателями, что намекает на его решающую роль в содействии этим атакам. Примечательно, что конкретный вариант, идентифицированный как uA8s.exe (SHA-1: 2bc75023f6a4c50b21eb54d1394a7b8417608728) был обнаружен замаскированным в инструменте сравнения буфера обмена, легальном программном обеспечении. Процесс выполнения показывает, что вредоносная программа надежно защищена, демонстрируя сложные защитные механизмы, препятствующие обнаружению. Ключевые характеристики этого средства защиты от EDR включают наличие драйвера со случайно сгенерированным именем, использование скомпрометированного сертификата подписи кода и ориентацию на конкретных поставщиков продуктов безопасности, таких как Sophos. Распространение этого инструмента совпало с многочисленными предупреждениями, связанными с деятельностью программ-вымогателей, особенно с RansomHub.

В частности, злоумышленники использовали уязвимость zero-day Remote Code Execution (RCE) в SimpleHelp для получения первоначального доступа, что привело к использованию EDR-убийцы, упакованного в HeartCrypt. Вредоносная программа, впоследствии использованная для отключения антивирусных функций, специально предназначалась для взлома продуктов безопасности ведущих производителей, таких как Eset и Kaspersky. Примечательно, что в отдельном инциденте, зафиксированном в июне 2025 года, была замечена обновленная версия EDR-убийцы, использующая дополнительный уровень запутывания. В этом случае была задействована интеграция отдельных упаковщиков как сервиса, что улучшило тактику обхода вредоносного ПО. Многогранные стратегии защиты, используемые этими киберпреступниками, иллюстрируют постоянно меняющийся ландшафт угроз, где сотрудничество может повысить эффективность операций с программами-вымогателями, усложняя усилия защитников по превентивной нейтрализации таких угроз.

#ParsedReport #CompletenessLow
06-08-2025

VexTrios Origin Story : From Spam to Scam to Adtech

https://blogs.infoblox.com/threat-intelligence/vextrios-origin-story-from-spam-to-scam-to-adtech/

Report completeness: Low

Threats:
Vextrio
Lospollos
Adspro
Fakecaptcha_technique
Clickbait_technique
Blackseo_technique
Cloaking_technique

Industry:
Education, E-commerce, Petroleum, Software_development, Financial, Government, Energy, Telco, Media

Geo:
London, Chinese, Bulgarian, Belarussian, New york, Egypt, Switzerland, Bulgaria, Italian, Russia, Czechia, Estonia, Romania, Belarus, Italy, Canada, Albanian, Dutch, Slovenian, Montenegro, Russian, Italians, Moldova

IOCs:
Domain: 14
IP: 1

Soft:
WordPress, Instagram, SendGrid, Alpine

Platforms:
apple, arm, intel

Links:
https://github.com/infobloxopen/threat-intelligence/tree/main

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
VexTrio - это преступная сеть, использующая систему распределения трафика для содействия различным онлайн-мошенничествам, включая scareware и мошенничество на свиданиях. Они используют взломанные веб-сайты, спам и методы обмана, такие как fake CAPTCHAs, для привлечения пользователей, при этом значительный трафик поступает со взломанных сайтов. Действующая с 2015 года VexTrio привлекает множество подставных компаний для сокрытия своей деятельности, и у нее есть ключевые фигуры в Европе, которые организуют ее сложные партнерские схемы.
-----

VexTrio работает как сложная система распределения трафика (TDS), объединяющая множество онлайн-мошенничеств, включая scareware, мошенничество на свиданиях и криптовалютные схемы. К 2024 году VexTrio отвечала за перенаправление трафика с более чем 50% клиентских сетей на свои TDS, что значительно облегчало различные мошеннические действия. Созданная в результате слияния преступных группировок Италии и Восточной Европы, VexTrio использует взломанные веб-сайты и спам в качестве основных средств распространения вредоносного контента. Сеть базируется в Лугано, Швейцария, и полагается на пуленепробиваемые услуги хостинга, используя при этом IP-адреса, арендованные у местных интернет-провайдеров, чтобы скрыть их операции.

Сеть организации включает в себя сложные связи с многочисленными коммерческими структурами, в частности, с мошенническими компаниями, такими как Los Pollos и AdsPro, обе из которых вовлечены в партнерский маркетинг и имеют связи с нелегальными источниками трафика. Исследователи установили, что VexTrio действует с 2015 года и состоит почти из ста компаний, занимающихся рассылкой спама и мошенничеством. Этой деятельности способствуют подставные компании с псевдонимами и вводящими в заблуждение личностями, чтобы замаскировать свои истинные операции, тем самым усложняя анализ их полного охвата.

Ключевые фигуры, связанные с VexTrio, включают таких людей, как Игорь Воронин, Эндрю Куница и Крум Василев, которые связаны с несколькими организациями по всей Европе, каждая из которых фигурирует под разными названиями компаний, чтобы еще больше скрыть свою личность. Инфраструктура, поддерживающая этот TDS, использует такие методы, как создание обманчивых веб-сайтов, fake CAPTCHAs для облегчения процессов входа в систему для получения push-уведомлений и использование тактики социальной инженерии для привлечения пользователей. Значительная часть трафика, примерно 40%, поступает со взломанных веб-сайтов, которые были перенаправлены на TDS VexTrio, что иллюстрирует масштаб их вредоносных операций.

VexTrio также занимается разработкой и распространением мошеннических приложений, утверждая, что предлагает такие услуги, как очистка оперативной памяти и мобильная безопасность. Их партнерские сети используют различные средства, включая схемы интерактивного голосового ответа (IVR), предназначенные для сбора личных данных жертв. Рекламные стратегии, такие как SmartRotation, используются для улучшения их целевых страниц для получения обманчивых предложений. Несмотря на высокий уровень риска, связанный с их операциями, основанными на мошенничестве, VexTrio остается в значительной степени успешной благодаря своей обширной практике обфускации и злонамеренному, но прибыльному характеру их сделок, что позволяет участникам вести роскошный образ жизни, избегая при этом значительных юридических последствий.

Таким образом, VexTrio является примером высокоорганизованного преступного предприятия, которое сочетает традиционную тактику мошенничества с современными технологическими методами для эксплуатации ничего не подозревающих пользователей по всему миру, демонстрируя постоянную проблему борьбы с изощренными сетями киберпреступников.

#ParsedReport #CompletenessMedium
06-08-2025

Malicious npm Packages Target WhatsApp Developers with Remote Kill Switch

https://socket.dev/blog/malicious-npm-packages-target-whatsapp-developers-with-remote-kill-switch

Report completeness: Medium

Threats:
Supply_chain_technique

Victims:
Whatsapp api developers

Geo:
Indonesian

TTPs:

IOCs:
File: 7
Url: 2

Soft:
WhatsApp, Outlook

Algorithms:
base64

Functions:
Exfiltration, makeSocket, makeNoiseHandler

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Два вредоносных пакета npm, имитирующих библиотеки WhatsApp, naya-flore и nvlore-hsc, содержат средство удаления файлов из системы разработчика, если указанный номер телефона не внесен в белый список. Они используют популярность бизнес-API WhatsApp, извлекая базу данных телефонных номеров из общедоступного репозитория GitHub для осуществления вредоносных действий, включая использование обманчивой функции для аутентификации бота WhatsApp, которая запускает удаление, если номер незарегистрирован.
-----

Команда Socket по исследованию угроз выявила два вредоносных пакета npm, выдающих себя за библиотеки для разработчиков WhatsApp. Эти пакеты, опубликованные пользователем nayflore, содержат дистанционно управляемый блокировщик, который может удалять файлы из системы разработчика, если указанный номер телефона не внесен в белый список. Они называются naya-flore и nvlore-hsc и за месяц получили более 1110 загрузок, несмотря на постоянные запросы в службу безопасности npm об их удалении.

Эти пакеты основаны на растущем внедрении бизнес-API WhatsApp, который в настоящее время используется более чем 200 миллионами компаний. Этот всплеск привел к созданию многочисленных сторонних библиотек для автоматизации, что побудило разработчиков доверять различным пакетам WhatsApp и устанавливать их. Вредоносные пакеты имитируют законные альтернативы, внедряя реализации сокетов WhatsApp, что в конечном итоге вводит разработчиков в заблуждение.

После установки пакеты извлекают удаленную базу данных телефонных номеров из репозитория GitHub, используя кодировку Base64 для маскировки URL конечной точки. Их вредоносное поведение реализуется с помощью функции "requestPairingCode`, которая предназначена для того, чтобы казаться законной и необходимой для аутентификации бота WhatsApp. Параметры функции, в частности "pairKey", разработаны таким образом, чтобы повысить ее аутентичность, вводя разработчиков в заблуждение, заставляя их полагать, что они используют надлежащие процессы сопряжения в WhatsApp. Однако, если используемый телефонный номер отсутствует в белом списке злоумышленника, функция инициирует очистку системы.

База данных GitHub, к которой обращаются эти пакеты, не требует аутентификации для доступа, что позволяет им легко обращаться к этой общедоступной конечной точке. Кроме того, в коде присутствует токен GitHub, который в настоящее время не используется в наблюдаемых вредоносных действиях, что вызывает вопросы о его предназначении. Это может означать либо незавершенность разработки, либо его потенциальное использование в других частях кодовой базы. Специалистам по безопасности рекомендуется отслеживать любые действия, связанные с этим токеном, в API GitHub.

#ParsedReport #CompletenessMedium
07-08-2025

Unveiling a New Variant of the DarkCloud Campaign

https://www.fortinet.com/blog/threat-research/unveiling-a-new-variant-of-the-darkcloud-campaign

Report completeness: Medium

Threats:
Darkcloud
Process_hollowing_technique

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1020, T1027, T1055.012, T1059.001, T1106, T1114.002, T1140, T1204.002, T1218.007, have more...

IOCs:
File: 10
Command: 2
Path: 2
Registry: 1
Url: 2
Hash: 2

Soft:
NET Framework, Chrome, Google Chrome, Microsoft Edge, Mozilla Firefox, FoxMail, Microsoft Outlook, CoreFTP, WinSCP, Mozilla Thunderbird, Task Scheduler, have more...

Algorithms:
base64, sha256

Functions:
Invoke, TaskScheduler-related, VAI, NtUnmapViewOfSection, rtcEnvironVar, sqlite3_prepare_v2, sqlite3_column_text, sqlite3_column_blob

Win API:
CreateProcess, ReadProcessMemory, VirtualAllocEx, WriteProcessMemory, GetThreadContext, SetThreadContext, ResumeThread, GetAsyncKeyState

Languages:
visual_basic, javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новый вариант вредоносной программы DarkCloud использует тактику фишинга для установки скрытого похитителя информации с помощью вредоносного файла JavaScript. Он использует запутанные команды PowerShell, process hollowing и нацелен на конфиденциальные данные, отправляя их злоумышленникам с использованием протоколов FTP и SMTP.
-----

В начале июля 2025 года FortiGuard Labs из Fortinet задокументировала новую кампанию, в которой использовался вариант вредоносного по DarkCloud, скрытого похитителя информации на базе Windows, впервые выявленного в 2022 году. Эта кампания использует тактику фишинга, начиная с электронного письма, содержащего вложение - архив RAR с именем Quote #S_260627.RAR . Внутри этого архива находится файл JavaScript, который при выполнении запускает серию событий, приводящих к установлению вредоносной программы в системе жертвы.

Код JavaScript запутан и содержит закодированные команды PowerShell, предназначенные для того, чтобы избежать обнаружения. После выполнения с помощью WScript.exe , он динамически декодирует и запускает команды PowerShell, которые обнаруживают и загружают вредоносную .NET DLL-библиотеку, замаскированную под законный модуль планировщика задач. Эта библиотека DLL является ключевой для поддержания закрепления в зараженной системе, загрузки основной полезной нагрузки DarkCloud в качестве компонента без файлов и ее развертывания с использованием метода, называемого process hollowing.

Полезная нагрузка без файлов DarkCloud извлекается из системы с помощью базовой библиотеки .NET DLL, которая использует команды PowerShell для копирования и подготовки JavaScript к выполнению. Он ищет MSBuild.exe процесс, создает приостановленный экземпляр и вводит в него полезную нагрузку DarkCloud, изменяя соответствующие параметры процесса, чтобы обеспечить его выполнение.

Сама полезная нагрузка DarkCloud, разработанная в Microsoft Visual Basic 6, использует несколько таймеров и шифрование, чтобы скрыть детали ее работы. Ключевые функции включают в себя возможность отслеживать активность клавиатуры и мыши с помощью периодических вызовов API GetAsyncKeyState(). Это позволяет вредоносному ПО оставаться бездействующим до тех пор, пока не будет обнаружено взаимодействие с пользователем.

DarkCloud фокусируется на эксфильтрации данных, нацеливаясь на конфиденциальную информацию, такую как сохраненные учетные данные браузера, платежные данные и контакты электронной почты. Он работает в популярных веб-браузерах, получая доступ к сохраненным данным в базах данных SQLite3 и используя дополнительные исполняемые компоненты для расшифровки зашифрованных данных, когда это необходимо. Кроме того, он способен агрегировать учетные данные из различных источников, включая почтовые клиенты и FTP-приложения.

Эксфильтрация данных достигается за счет поддержки протоколов FTP и SMTP, что позволяет отправлять собранную конфиденциальную информацию обратно злоумышленникам. В целом, этот вариант DarkCloud представляет собой сложную разработку вредоносного ПО без файлов, использующего передовые методы запутывания и скрытности для успешного проникновения и сбора данных из систем-жертв.

#ParsedReport #CompletenessLow
07-08-2025

A spy that pretends to be an antivirus

https://www.kaspersky.ru/blog/disguised-spy-for-android/40244/

Report completeness: Low

Threats:
Lunaspy
Sparkcat
Finfisher

Victims:
Android smartphone owners, Telegram users

Industry:
Financial

Geo:
Russia

ChatGPT TTPs:
do not use without manual check
T1036.005, T1071.001, T1119, T1204.001, T1204.002

Soft:
Android, Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LunaSpy, новая программа-шпион для Android, распространяется с помощью мгновенных сообщений, выдавая себя за антивирусные или банковские приложения, и собирает конфиденциальные данные, включая пароли от браузеров и приложений для обмена сообщениями. Она передает собранные данные через более чем 150 командных серверов, что подчеркивает необходимость бдительности пользователей в отношении нежелательных предложений программного обеспечения.
-----

Новая шпионская программа для Android, идентифицированная как LunaSpy, представляет значительный риск для пользователей смартфонов, особенно в России. Это вредоносное ПО в основном распространяется через мессенджеры, маскируясь под антивирусное программное обеспечение или приложения для защиты банковских операций. Вредоносное ПО внедряется с помощью сообщений, которые заманивают пользователей предложениями загрузить защитное программное обеспечение. Такая тактика обмана часто включает сообщения от незнакомых отправителей или захваченные учетные записи контактов, используя социальную инженерию, чтобы убедить пользователей установить вредоносное приложение.

После установки LunaSpy имитирует функциональность легальных антивирусных программ, сканируя устройства и ложно сообщая о многочисленных угрозах. Однако на самом деле он не обеспечивает никакого реального обнаружения вредоносного ПО; скорее, он функционирует как шпион, собирающий конфиденциальную информацию с зараженного устройства. Самая последняя версия LunaSpy была дополнена возможностями кражи паролей из различных веб-браузеров и приложений для обмена сообщениями, что подчеркивает меняющийся ландшафт угроз. Наличие таких функций подчеркивает важность использования менеджеров паролей для защиты конфиденциальных данных. Кроме того, шпионское ПО содержит вредоносный код, который потенциально может получить доступ к фотогалереям пользователей, хотя в настоящее время эта функциональность не используется.

Собранные данные с зараженных устройств передаются злоумышленникам примерно через 150 различных доменов и IP-адресов, все они функционируют как командные серверы для вредоносного ПО. Эта обширная инфраструктура указывает на хорошо организованную вредоносную кампанию, направленную на компрометацию пользователей Android и использование их личной информации. Этот сценарий подчеркивает необходимость того, чтобы пользователи сохраняли бдительность в отношении устанавливаемых ими приложений и остерегались нежелательных сообщений, рекламирующих программное обеспечение, которое якобы повышает безопасность.

#ParsedReport #CompletenessLow
07-08-2025

Unmasking the SVG Threat: How Hackers Use Vector Graphics for Phishing Attacks

https://www.seqrite.com/blog/unmasking-the-svg-threat-how-hackers-use-vector-graphics-for-phishing-attacks/

Report completeness: Low

Threats:
Spear-phishing_technique

Geo:
Burma

ChatGPT TTPs:
do not use without manual check
T1056.003, T1059.007, T1140, T1204.001, T1204.002, T1566.001, T1566.002

IOCs:
File: 5
Url: 1
Hash: 6

Soft:
Dropbox, Office 365

Algorithms:
xor

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники все чаще используют SVG-файлы в фишинг-атаках, используя встроенный JavaScript для перенаправления жертв на вредоносные сайты, выдающие себя за службы, такие как Microsoft 365. Эти файлы обходят традиционные фильтры и часто приходят замаскированными под доброкачественные вложения в электронных письмах с spear-phishing, что приводит к краже учетных данных.
-----

В нынешних условиях кибербезопасности злоумышленники все чаще используют файлы масштабируемой векторной графики (SVG) для проведения сложных фишинговых атак, подрывающих традиционные средства защиты. В отличие от обычных графических форматов, файлы SVG используют кодировку на основе XML для представления векторных контуров, фигур и текста, что позволяет создавать масштабируемые изображения без потери качества. Эта структура также позволяет вставлять встроенный JavaScript, который может автоматически выполняться при открытии файла в веб-браузере, что особенно часто используется во многих средах Windows.

Методы атак эволюционировали: злоумышленники используют SVG-файлы в качестве вложений в spear-phishing электронных письмах или по общим ссылкам на облачных платформах хранения данных, таких как Dropbox или Google Drive, часто обходя фильтры электронной почты, предназначенные для обнаружения вредоносного контента. Эти электронные письма с фишингом обычно содержат вводящие в заблуждение строки темы, предназначенные для того, чтобы вызвать доверие, такие как "Напоминание о запланированном мероприятии" или "Напоминание о встрече”, и включают, казалось бы, безобидные вложения в формате SVG с такими названиями, как "Предстоящая встреча.svg" или "Список ваших дел.svg.".

После открытия встроенный JavaScript в этих SVG-файлах выполняется автоматически, перенаправляя ничего не подозревающих жертв на сайты фишинга, которые точно имитируют легальные сервисы, такие как Microsoft 365 или Google Workspace. В одном проанализированном примере SVG вредоносный код скрыт с помощью раздела CDATA, который включает длинную строку в шестнадцатеричном коде вместе с коротким ключом XOR. Это позволяет декодировать и выполнять полезную нагрузку JavaScript, чтобы беспрепятственно перенаправить жертву на сайт фишинга.

Процесс начинается с электронного письма, содержащего вложение в формате SVG; после выполнения вредоносная логика инициирует перенаправление на фишинговую ссылку, намеренно скрытую, чтобы казаться безвредной. Перенаправленная страница, скрытая капчей Cloudflare, еще больше манипулирует жертвами, заставляя их подтвердить свою человечность, прежде чем получить доступ к фактическому вредоносному интерфейсу. Этот интерфейс настроен так, чтобы выглядеть как законная страница входа в Office 365, на которой злоумышленники захватывают и сохраняют учетные данные электронной почты и пароля жертвы по мере их ввода.

Таким образом, этот новый метод атаки на основе SVG означает тревожный сдвиг в тактике фишинга, использующий, казалось бы, безобидный формат файла для выполнения вредоносных скриптов и обманом заставляющий пользователей разглашать конфиденциальную информацию, подчеркивая необходимость повышения осведомленности и усовершенствования механизмов фильтрации электронной почты в области кибербезопасности.