Zwykły obrazek może zainfekować twój komputer. Nowa metoda hakerów jest niewykrywalna dla antywirusów

Eksperci ds. cyberbezpieczeństwa z należącej do Google platformy VirusTotal odkryli nową, niepokojącą kampanię phishingową.

Hakerzy wykorzystują w niej pozornie nieszkodliwe pliki graficzne SVG do dystrybucji złośliwego oprogramowania. Technika ta jest na tyle skuteczna, iż w wielu przypadkach potrafi całkowicie ominąć wykrywanie przez popularne programy antywirusowe.

Jak działa atak z wykorzystaniem pliku SVG?

Pliki SVG (Scalable Vector Graphics) to oparty na języku XML format grafiki wektorowej, który w odróżnieniu od tradycyjnych obrazków, jak JPG czy PNG, może zawierać interaktywne elementy, takie jak kod HTML i JavaScript. Cyberprzestępcy wykorzystali tę adekwatność, by zamienić pliki graficzne w kompletne zestawy phishingowe. W opisywanej przez VirusTotal kampanii plik SVG udawał oficjalne powiadomienie prawne od kolumbijskiego wymiaru sprawiedliwości. Po jego otwarciu w przeglądarce internetowej użytkownikowi ukazywała się realistycznie wyglądająca strona rządowa z fałszywym paskiem postępu i przyciskiem pobierania.

Sztuczna inteligencja w rękach hakerów. Nowe narzędzie łamie zabezpieczenia w 10 minut

Kliknięcie przycisku powodowało pobranie złośliwego archiwum ZIP. W środku znajdował się podpisany cyfrowo, a więc pozornie legalny, plik wykonywalny przeglądarki Comodo Dragon oraz ukryta, szkodliwa biblioteka DLL. Uruchomienie programu prowadziło do załadowania wspomnianej biblioteki, co w efekcie kończyło się instalacją dalszego złośliwego systemu na komputerze ofiary. Cały proces został zaprojektowany tak, by wzbudzić jak najmniej podejrzeń.

Niewidzialne dla skanerów

Największym zagrożeniem jest fakt, iż ta metoda potrafi być niewidoczna dla systemu zabezpieczającego. Analiza VirusTotal powiązała z opisywaną kampanią łącznie 523 pliki SVG. Spośród nich aż 44 w momencie przesłania do analizy były całkowicie niewykrywalne dla któregokolwiek z silników antywirusowych dostępnych na platformie. Hakerzy, aby uniknąć detekcji, stosowali w kodzie plików techniki zaciemniania (obfuskacji) oraz dodawali duże ilości losowych danych, co miało utrudnić analizę statyczną.

To nie jest odosobniony przypadek. Wcześniej w tym roku analitycy z IBM X-Force dokumentowali podobne kampanie wymierzone w banki i firmy ubezpieczeniowe. Problem dostrzegł również Microsoft, który w odpowiedzi na rosnące zagrożenie postanowił wycofać obsługę renderowania plików SVG bezpośrednio w wiadomościach w internetowej wersji Outlooka oraz nowej aplikacji dla systemu Windows. Na razie użytkownikom zaleca się traktowanie nieznanych plików SVG z taką samą ostrożnością, jak każdego innego potencjalnie niebezpiecznego załącznika.

Wyścig zbrojeń w sieci. Hakerzy i eksperci od bezpieczeństwa walczą na sztuczną inteligencję

Jeśli artykuł Zwykły obrazek może zainfekować twój komputer. Nowa metoda hakerów jest niewykrywalna dla antywirusów nie wygląda prawidłowo w Twoim czytniku RSS, to zobacz go na iMagazine.