Virus Total พบแคมเปญฟิชชิ่งที่ซ่อนอยู่ใน SVG files

VirusTotal พบแคมเปญฟิชชิ่งที่ซ่อนอยู่ใน SVG files ซึ่งสร้างหน้าเว็บพอร์ทัลที่ปลอมเป็นระบบตุลาการของรัฐบาลโคลอมเบียเพื่อส่งมัลแวร์ไปยังเป้าหมาย

VirusTotal ได้ตรวจพบแคมเปญนี้หลังจากที่เพิ่มการรองรับไฟล์ SVG ลงในแพลตฟอร์ม AI Code Insight

AI Code Insight เป็นฟีเจอร์ของ VirusTotal ในการวิเคราะห์ตัวอย่างไฟล์ที่ถูกอัปโหลด โดยใช้ Machine Learning/AI เพื่อสร้างสรุปพฤติกรรมที่น่าสงสัย หรือเป็นอันตรายที่พบในไฟล์

หลังจากได้เพิ่มการรองรับไฟล์ SVG จึงทำให้ VirusTotal ค้นพบไฟล์ SVG ที่ไม่ถูกตรวจจับจากการสแกนมัลแวร์ แต่ฟีเจอร์ Code Insight ได้ตรวจพบการใช้ JavaScript เพื่อแสดง HTML ซึ่งปลอมเป็นระบบตุลาการของรัฐบาลโคลอมเบีย

SVG file หรือ Scalable Vector Graphics ใช้ในการสร้างภาพเส้น รูปทรง และข้อความผ่านสูตรทางคณิตศาสตร์ในไฟล์ ต่อมาเริ่มพบเหล่า Hacker เริ่มใช้ไฟล์ SVG ในการโจมตีมากขึ้น เนื่องจากไฟล์เหล่านี้สามารถใช้แสดง HTML โดยใช้องค์ประกอบ <foreignObject> และเรียกใช้งาน JavaScript เมื่อโหลดกราฟิก

ในแคมเปญที่ Virustotal ค้นพบ ไฟล์ภาพ SVG ถูกใช้เพื่อแสดงผลหน้าเว็บพอร์ทัลปลอมที่แสดงแถบความคืบหน้าการดาวน์โหลด ซึ่งท้ายที่สุดจะแจ้งให้ผู้ใช้ดาวน์โหลดไฟล์ zip ที่มีการใส่รหัสผ่าน ซึ่งรหัสผ่านสำหรับเปิดไฟล์นี้จะแสดงในหน้าพอร์ทัลปลอม

Phishing Campaign จะจำลองกระบวนการดาวน์โหลดเอกสารราชการอย่างเป็นทางการ ประกอบด้วยหมายเลขคดี, security token และสัญลักษณ์ภาพเพื่อสร้างความน่าเชื่อถือ ซึ่งทั้งหมดนี้สร้างขึ้นภายในไฟล์ SVG

BleepingComputer พบว่า ไฟล์ที่ extracted ออกมาจะมีไฟล์อยู่ 4 ไฟล์ ได้แก่ ไฟล์ executable ที่ถูกต้องของเว็บเบราว์เซอร์ Comodo Dragon ซึ่งเปลี่ยนชื่อเป็นเอกสารทางศาลอย่างเป็นทางการ, ไฟล์ DLL ที่เป็นอันตราย และไฟล์ที่ดูเหมือนจะเข้ารหัสไว้ 2 ไฟล์

โดยหากผู้ใช้เปิดไฟล์ executable ไฟล์ DLL ที่เป็นอันตรายจะถูกโหลดเพื่อติดตั้งมัลแวร์เพิ่มเติมในระบบของเป้าหมาย

หลังจากตรวจพบ SVG file ที่เป็นอันตรายนี้ ทาง VirusTotal ก็สามารถระบุไฟล์ SVG ที่อัปโหลดไว้ก่อนหน้านี้ จำนวนกว่า 523 ไฟล์ ซึ่งเป็นส่วนหนึ่งของแคมเปญเดียวกัน ที่สามารถหลบเลี่ยงการตรวจจับของซอฟต์แวร์รักษาความปลอดภัย

การเพิ่มการรองรับ SVG file ให้กับ AI Code Insights มีความสำคัญอย่างยิ่งในการเปิดเผยแคมเปญนี้ เนื่องจาก VirusTotal ระบุว่า การใช้ AI ช่วยให้ระบุแคมเปญที่เป็นอันตรายใหม่ ๆ ได้ง่ายขึ้น

VirusTotal ระบุว่า จุดที่ Code Insight เข้ามาช่วยได้มากที่สุดนั่นคือ การทำให้เห็นบริบทโดยรวม, ประหยัดเวลา และช่วยให้มุ่งเน้นไปที่สิ่งที่สำคัญจริง ๆ ทั้งนี้ Code Insight ไม่สามารถแทนที่การวิเคราะห์ของผู้เชี่ยวชาญได้ แต่เป็นอีกหนึ่งเครื่องมือที่จะช่วยคัดกรองข้อมูลที่ไม่จำเป็น และเข้าถึงสิ่งที่สำคัญได้รวดเร็วยิ่งขึ้น

 

ที่มา : bleepingcomputer.

Read more