Новые методы маскировки вредоносных файлов через SVG: взломанный судебный портал Колумбии и атаки на доверчивых пользователей
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
Хакеры нашли новый способ обходить антивирусные программы: они прячут вредоносное ПО в SVG-изображениях. SVG (Scalable Vector Graphics) — это формат векторной графики, который сохраняет четкость изображений при любом увеличении. Формат основан на языке разметки XML, что позволяет внедрять не только графику, но также скрипты и другие элементы кода прямо внутрь файла. Этим и воспользовались киберпреступники, замаскировав вредоносный JavaScript и опасные ссылки внутри SVG — такие файлы могут скачивать вирусы и перенаправлять пользователя на фишинговые сайты при открытии через браузер.
Исследователи кибербезопасности VirusTotal обнаружили новую волну подобных атак после того, как их система анализа кода научилась распознавать опасные SVG. Суть схемы: если открыть вредоносный SVG-файл в браузере, на экране появится поддельная версия официального сайта судебной системы Колумбии. На этом сайте изображен некий процесс загрузки — показывает якобы скачивание документа. После "загрузки" пользователя просят сохранить на компьютер архив ZIP с паролем. Чаще всего такие файлы распространяются через фишинговые письма, которые имитируют электронные уведомления о судебных повестках и другие документы госорганов. "Фейковый портал воспроизводит официальный интерфейс — номера дел, токены безопасности, визуальные элементы доверия — всё выглядит как настоящее, хотя на самом деле это продуманный SVG-файл", — пишут специалисты VirusTotal в своем отчёте.
На деле загружаемый архив содержит переименованную программу от браузера Comodo Dragon (чтобы выглядеть как важно официальный файл суда), вредоносную DLL-библиотеку и два зашифрованных файла. Запуск поддельного "документа" автоматически активирует DLL, которая устанавливает дальнейшее вредоносное ПО на компьютер жертвы.
Сейчас компания VirusTotal зафиксировала уже более 500 различных SVG-файлов, задействованных в этой кампании. Эти образцы до сих пор не улавливались большинством антивирусных решений — антивирусы попросту не ожидали подвоха от векторных изображений. Информации о жертвах немного, но эксперты предполагают, что большинство из них — граждане Колумбии.
Это не первый случай использования SVG для атак: ещё в феврале 2025 года специалисты предупреждали о росте количества заражённых вложений именно в этом формате.
PEREC.RU
Герой нашей истории — абсолютно банальные SVG-файлы. Когда-то они были безобидными картинками, теперь — новая любовь хакеров. Удивительно, как мало внимания уделяется тому, что теперь даже логотип суда может заманить доверчивого пользователя в сети вируса, а антивирусы за этим даже не следят — им не до того, ведь картинки же, что в них может быть опасного?
VirusTotal вдруг решает озарить коллег: SVG анализировать надо! Выясняется, что уже более 500 образцов вовсю заражают тех, кто решил глянуть виртуальный судебный офис. Вместо настоящего документа человеку подсовывают архив с легальным браузером (привет, Comodo Dragon), маскировкой, вредоносной начинкой и целой пачкой зашифрованных неожиданностей. Если жертва слишком доверчива и жмёт на знакомые иконки — ловит сразу всё.
Колумбийская Фемида, конечно, тут ни при чём, но хакеры в очередной раз доказывают, что совести у них не было и не будет. Намёк на массовость — кто следующий после Колумбии? Может, российский суд появится в следующем акте этой чёрной комедии?
Картинка дня: не доверяй даже SVG. А заказчики — спите дальше: настоящая безопасность, как и настоящая комедия, — всегда на сцене где-то в другом месте.
