Uma nova e engenhosa campanha de phishing está a utilizar ficheiros de imagem SVG para contornar as defesas dos programas antivírus e distribuir malware. A descoberta foi feita pela VirusTotal, que conseguiu expor o esquema graças à sua plataforma de análise de código assistida por inteligência artificial (IA).
Os atacantes criaram portais falsos que se fazem passar pelo sistema judicial da Colômbia, com o objetivo de levar as vítimas a descarregar ficheiros maliciosos para os seus computadores.
Como funciona este ataque engenhoso?
Os ficheiros SVG (Scalable Vector Graphics) são um formato de imagem vetorial, o que significa que são definidos por fórmulas matemáticas em vez de píxeis. Esta característica permite-lhes ser redimensionados sem perda de qualidade, mas também esconde uma capacidade menos conhecida: podem executar código JavaScript e apresentar conteúdo HTML. É precisamente esta flexibilidade que os cibercriminosos estão a explorar.
Nesta campanha, o ficheiro SVG, quando aberto, não mostra apenas uma imagem. Em vez disso, utiliza código para renderizar uma página web completa que imita na perfeição um portal oficial do governo colombiano. Para aumentar a credibilidade, o portal falso exibe uma barra de progresso de download, números de processo e tokens de segurança, tudo para convencer a vítima de que está a descarregar um documento legítimo.
O passo final é levar o utilizador a descarregar um arquivo ZIP protegido por uma palavra-passe, que é convenientemente exibida na própria página. Dentro deste arquivo encontra-se um executável que, ao ser aberto, instala o malware no sistema da vítima através de um processo conhecido como "DLL sideloading".
Inteligência Artificial foi a chave para a descoberta
O mais preocupante é que esta técnica conseguiu passar completamente despercebida pelos motores de antivírus tradicionais. O ficheiro SVG inicial analisado pela VirusTotal não teve uma única deteção.
Foi a ferramenta AI Code Insight da plataforma, que utiliza IA para analisar o comportamento de ficheiros suspeitos, que deu o alerta. A inteligência artificial conseguiu perceber que o ficheiro SVG não se limitava a ser uma simples imagem, detetando o uso de JavaScript para apresentar um portal de phishing.
Após esta descoberta inicial, a VirusTotal conseguiu identificar um total de 523 outros ficheiros SVG que faziam parte da mesma campanha e que tinham escapado a qualquer deteção. Este caso demonstra como a segurança informática depende cada vez mais de ferramentas avançadas para combater ameaças que evoluem constantemente para se esconderem à vista de todos.
Nenhum comentário
Seja o primeiro!