VirusTotalは、コロンビアの司法制度を装った信頼性の高いポータルを作成し、マルウェアを配布するSVGファイルに隠されたフィッシングキャンペーンを発見しました。
VirusTotalは、AI Code InsightプラットフォームにSVGのサポートを追加した後、このキャンペーンを検出しました。
VirusTotalのAI Code Insight機能は、アップロードされたファイルサンプルを機械学習で分析し、ファイル内で発見された疑わしいまたは悪意のある挙動の要約を生成します。
SVGのサポートを追加した後、VirusTotalは、ウイルス対策スキャンでは検出されなかったSVGファイルを発見しましたが、AI搭載のCode Insight機能がJavaScriptを使用してHTMLを表示し、コロンビア政府の司法制度のポータルを装っていることを検出しました。
出典: VirusTotal
SVG(Scalable Vector Graphics)は、ファイル内のテキストによる数式で線や図形、テキストの画像を生成するために使用されます。
しかし、攻撃者はSVGファイルを攻撃に利用するケースが増えており、<foreignObject>要素を使用してHTMLを表示したり、グラフィックの読み込み時にJavaScriptを実行したりすることも可能です。
Virustotalが発見したこのキャンペーンでは、SVG画像ファイルが偽のポータルを描画するために使用され、偽のダウンロード進行バーを表示し、最終的にユーザーにパスワードで保護されたzipアーカイブのダウンロードを促します [VirusTotal]。このファイルのパスワードは偽のポータルページに表示されます。
「下のスクリーンショットに示すように、偽のポータルはまさに説明通りに描画され、公式な政府文書のダウンロードプロセスをシミュレートしています」とVirusTotalは説明しています。
「フィッシングサイトには、事件番号やセキュリティトークン、信頼を築くための視覚的要素が含まれており、すべてがSVGファイル内で作成されています。」
出典: VirusTotal
BleepingComputerは、抽出されたファイルに4つのファイルが含まれていることを発見しました。Comodo Dragonウェブブラウザからの正規の実行ファイル(公式な司法文書として名前が変更されている)、悪意のあるDLL [VirusTotal]、そして2つの暗号化されたファイルと思われるものです。
出典: BleepingComputer
ユーザーがこの実行ファイルを開くと、悪意のあるDLLがサイドロードされ、さらなるマルウェアがシステムにインストールされます。
この最初のSVGを検出した後、VirusTotalは同じキャンペーンの一部でありながらセキュリティソフトウェアによる検出を逃れていた、過去にアップロードされた523個のSVGファイルを特定しました。
AI Code InsightsへのSVGサポートの追加は、この特定のキャンペーンを明るみに出す上で重要な役割を果たしました。VirusTotalは、AIの活用により新たな悪意のあるキャンペーンの特定が容易になると述べています。
「ここでCode Insightが最も役立つのは、コンテキストを提供し、時間を節約し、本当に重要なことに集中できるようにすることです。魔法ではありませんし、専門家の分析に取って代わるものではありませんが、ノイズを切り抜けて素早く本質にたどり着くためのもう一つのツールです」とVirusTotalは締めくくっています。
