- ハッカーが悪意のあるSVGファイルを使い、コロンビアの司法システムを偽装
- 被害者は偽のZIPファイルをダウンロードし、リネームされたブラウザとDLL経由でマルウェアがインストールされる
- 500件以上のファイルが発見され、主にコロンビア人を標的としたフィッシングによる拡散とみられる
ハッカーは、実在するウェブサイトを偽装した悪意のあるSVGファイルを共有し、被害者に有害なファイルをダウンロードさせようとしています。
サイバーセキュリティ研究者のVirusTotalは、AI搭載のCode InsightプラットフォームでSVGのサポートを追加した際に、このマルウェアを発見しました。
スケーラブル・ベクター・グラフィックス(SVG)ファイルは、どのサイズでも鮮明な画像を表示するために使われます。XMLベースのため、図形だけでなくスクリプトや埋め込みコードも含むことができ、攻撃者はこれを利用してSVG内に悪意のあるJavaScriptやリンクを隠すことが可能です。このファイルをブラウザで開くと、ドライブバイダウンロードやフィッシングリダイレクト、スクリプト実行が発動する可能性があります。
500件以上のSVGファイル
今回のキャンペーンでは、SVGファイルをブラウザで開くと、コロンビアの司法システムの本物そっくりなウェブサイトが表示され、偽のダウンロード進捗バーも表示されます。「ダウンロード」が完了すると、ユーザーはパスワード付きZIPアーカイブをPCに保存するよう促されます。
SVGファイルは、裁判所命令メールなどを偽装したフィッシングメッセージ経由で拡散されている可能性が高いです。
「偽のポータルは説明通りに表示され、公式な政府文書のダウンロードプロセスをシミュレートしています。フィッシングサイトには事件番号やセキュリティトークン、信頼感を与えるビジュアル要素が含まれており、すべてSVGファイル内で作成されています」とVirusTotalはレポートで述べています。
ダウンロードされたZIPアーカイブには、Comodo Dragonウェブブラウザの正規実行ファイル(公式司法文書のようにリネーム)、悪意のあるDLL、2つの暗号化ファイルが含まれていたと報告されています。被害者がブラウザを実行するとDLLが発動し、追加のマルウェアがシステムにインストールされます。
VirusTotalによると、同じキャンペーンの一部とみられるSVGファイルは500件以上確認されており、ウイルス対策ソフトや他のエンドポイント保護プラットフォームの監視をすり抜けていたとのことです。
被害者については詳しい情報は分かっていませんが、ほとんどがコロンビア人である可能性が高いです。
SVGファイルがフィッシング攻撃に使われるのは今回が初めてではありません。2025年2月にも、添付ファイルの.SVGファイルによるインシデントが増加していると専門家が警告しています。
