Shadow Vector: продвинутая фишинговая атака с вредоносными SVG-файлами

Современные кибератаки становятся все более изощренными и целенаправленными. Недавнее исследование выявило активную вредоносную кампанию под названием Shadow Vector, которая ориентирована на пользователей в Колумбии, используя необычные методы распространения вредоносного ПО. В центре внимания злоумышленников — файлы формата SVG, замаскированные под официальные уведомления, что повышает вероятность успешного обмана жертвы.

Тактика распространения вредоносных файлов

Злоумышленники рассылают фишинговые электронные письма, выдавая себя за доверенные учреждения. В этих письмах используются SVG-файлы, скрывающие вредоносный контент при помощи контрабанды, что обеспечивает обход фильтров безопасности в системах электронной почты.

• SVG-файлы содержат ссылки на удалённые скрипты или ZIP-архивы, защищённые паролем;
• ZIP-архивы включают как доброкачественные, так и вредоносные файлы, среди которых — библиотеки DLL, связанные с инструментами удаленного доступа (RATs), такими как AsyncRAT и Remc;
• Заражение происходит через многоступенчатую цепочку, начиная с JavaScript-файлов, маскирующихся под юридические уведомления;
• Дополнительные скрипты загружают DLL, закодированные в base64, с различных онлайн-источников, включая общедоступные файлообменные сервисы.

Механизмы заражения и эксплуатация уязвимостей

Один из ключевых методов — side-loading библиотеки DLL. Исполняемый файл-приманка загружает вредоносную DLL внутри каталога злоумышленника, используя порядок поиска DLL в Windows. Это позволяет выполнить полезную нагрузку AsyncRAT в рамках казалось бы легитимного процесса, что значительно усложняет обнаружение.

Вредоносное ПО оснащено расширенными средствами:

• антианализа и проверки среды безопасности для сокрытия своей работы;
• постоянством через запланированные задачи и изменения в реестре Windows — запуск с повышенными привилегиями при загрузке системы;
• функционалом кейлоггера, утечек данных и кражи учетных данных, в том числе банковской информации;
• избыточностью коммуникаций с командно-контрольными серверами (C2) — при сбое одного канала связи используются резервные методы.

Эволюция и расширение кампании

В последних версиях Shadow Vector злоумышленники применяют обновлённые загрузчики, которые работают исключительно в памяти, что ещё сильнее затрудняет их обнаружение.

Также используются:

• обход контроля учетных записей (UAC);
• динамическая загрузка полезной нагрузки;
• строки на португальском языке, что указывает на связь с аналогичными атаками в соседних регионах, прежде всего в Бразилии.

Выводы

Стоит отметить, что Shadow Vector иллюстрирует растущую изощренность региональных хакерских групп и их способность адаптироваться к меняющемуся ландшафту угроз. Использование многоступенчатых цепочек заражения, обхода стандартных мер защиты и эксплуатации общедоступных платформ свидетельствуют о высокой оперативной гибкости злоумышленников.

Для пользователей и компаний, особенно в Колумбии и соседних странах, это служит напоминанием о важности усиления мер кибербезопасности, применения современных средств обнаружения угроз и повышения уровня цифровой гигиены.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.