网络犯罪分子采用了一种新的欺骗技术,将看似无害的矢量图形转化为危险的恶意软件传播系统。
最近针对拉丁美洲的一场攻击活动展示了攻击者如何利用包含嵌入式恶意负载的超大SVG文件来分发AsyncRAT,这是一种强大的远程访问木马,能够实现全面的系统入侵。
该活动始于精心设计的钓鱼邮件,这些邮件伪装成合法机构,尤其是司法系统,围绕虚构的法律程序或法院传票制造紧迫感。
受害者会收到声称有诉讼案件或官方文件需要立即处理的信息,这迫使接收者在没有经过适当检查的情况下打开附带的SVG文件。
与需要外部命令和控制基础设施的传统恶意软件活动不同,这些武器化的SVG文件自身就包含完整的恶意程序包。
这种被称为SVG走私的技术,利用了可缩放矢量图形(SVG)基于XML的特性,将脚本、交互元素和编码的有效载荷直接嵌入到看似无害的图像文件中。
Welivesecurity的分析师指出,这些文件的大小通常超过10MB,远比一般的图像文件大,且在网页浏览器中打开时会立即呈现出伪造的政府门户网站。
攻击者似乎利用人工智能工具为单个目标生成定制文件,每个受害者都会收到精心制作的独特SVG文件,这些文件中充斥着随机数据,以规避基于特征的检测系统。
感染机制与有效载荷部署
感染过程通过一个复杂的多阶段流程展开,该流程旨在维持受害者的参与度,同时下载恶意组件。
当用户点击SVG附件时,他们的默认网页浏览器会呈现一个精心设计的虚假门户,该门户模仿哥伦比亚的司法系统,包含官方徽标、政府风格和动态进度指示器。
恶意的SVG文件包含嵌入的JavaScript,它会模拟文档验证过程,显示逼真的进度条和状态消息(如“Verificando documentos oficiales”和“30% completado”),以营造真实性。
在这场戏剧性的展示过程中,脚本悄然组装并部署了一个受密码保护的ZIP压缩包,其中包含最终的AsyncRAT有效载荷。
嵌入的代码包含经base64编码的二进制数据,这些数据会被实时解码并组合:-
const payloadData = "UESDBBQACQgIAGxD+VpRqIWSufYYACn8GAAxAAAAMDFfREVNQU5EQSBQRU5BTCBQT1IgRUwgSlVaR0FETyAwMS...";
const binaryString = atob(payloadData);
const bytes = new Uint8Array(binaryString.length);该活动采用了DLL侧载技术,即合法应用程序加载恶意库,使最终的AsyncRAT有效载荷能与正常系统进程融合,从而规避检测。
检测遥测数据显示出系统性的部署模式,2025年8月的每周中段出现攻击高峰,主要针对哥伦比亚用户。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
