Hackers escondendo keylogger e malware RAT em arquivos de imagem SVG

Os agentes de ameaças estão escondendo malware em arquivos de imagem SVG para evitar a detecção e entregar ransomware, baixar um Trojan bancário e distribuir malware.

Pesquisadores da Cofense Intelligence observaram em janeiro uma campanha de dois meses que usou arquivos SVG para entregar malware Agent Tesla Keylogger e XWorm RAT. Os pesquisadores aconselham as equipes de segurança a lembrar os usuários de que devem ficar atentos a downloads inesperados ao abrir um arquivo SVG, o que é um sinal revelador de comprometimento.

O formato de arquivo Scalable Vector Graphic usa equações matemáticas para descrever imagens, o que permite que elas sejam dimensionadas sem perda de qualidade de imagem e as torna adequadas para diversas aplicações de design.

AutoSmuggle, uma ferramenta de código aberto lançada em maio de 2022, permite que os agentes de ameaças incorporem arquivos maliciosos em conteúdo SVG ou HTML, contornando medidas de segurança, como gateways de e-mail seguros, e aumentando as chances de entrega bem-sucedida de malware.

O uso de arquivos SVG para entrega de malware foi observado pela primeira vez em 2015, mas os pesquisadores disseram que os hackers refinaram suas táticas para contornar as medidas de segurança e distribuir com sucesso cargas prejudiciais. Arquivos SVG distribuíram o malware Ursnif em 2017 e foram usados ​​para contrabandear .ziparquivos contendo o malware QakBot 2022.

Nas campanhas do Agent Tesla Keylogger em dezembro de 2023 e janeiro de 2024, os e-mails continham arquivos SVG anexados que, quando abertos, entregavam .ziparquivos incorporados. Esses arquivos iniciaram uma série de downloads de carga útil, culminando na execução do Agente Tesla Keylogger. Os atores da ameaça modificaram os arquivos SVG gerados pelo AutoSmuggle para aprimorar seus recursos enganosos.

As campanhas XWorm RAT apresentaram diversas cadeias de infecção. Alguns usavam links incorporados que levavam a arquivos SVG e outros usavam arquivos SVG anexados diretamente.

Esses arquivos iniciaram o download de .ziparquivos contendo cargas úteis para execução do XWorm RAT. Os arquivos SVG usados ​​nessas campanhas não tinham a sofisticação observada nas campanhas do Agent Tesla Keylogger e apresentavam páginas em branco ao serem abertos.

Os pesquisadores recomendam estratégias robustas de mitigação contra ameaças de malware baseadas em SVG. As defesas tradicionais que dependem de extensões de arquivo são inadequadas diante da evolução das táticas de malware.