VirusTotal phát hiện 44 tệp SVG chưa được phát hiện được mã hóa Base64

[Starlink]

Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch phần mềm độc hại mới sử dụng các tệp Scalable Vector Graphics (SVG) như một phần của các cuộc tấn công lừa đảo mạo danh hệ thống tư pháp Colombia.

Theo VirusTotal, các tệp SVG được phân phối qua email và được thiết kế để thực thi một đoạn mã JavaScript nhúng, sau đó giải mã và đưa vào một trang lừa đảo HTML được mã hóa theo chuẩn Base64, ngụy trang thành một cổng thông tin cho Fiscalía General de la Nación, Văn phòng Tổng chưởng lý Colombia.

Sau đó, trang web này mô phỏng quy trình tải xuống tài liệu chính thức của chính phủ bằng một thanh tiến trình giả mạo, đồng thời âm thầm kích hoạt quá trình tải xuống tệp ZIP ở chế độ nền. Bản chất chính xác của tệp ZIP không được tiết lộ.

Dịch vụ quét phần mềm độc hại thuộc sở hữu của Google cho biết họ đã tìm thấy 44 tệp SVG riêng biệt, tất cả đều không bị các công cụ diệt vi-rút phát hiện do sử dụng các kỹ thuật như làm tối nghĩa, đa hình và một lượng lớn mã rác để tránh các phương pháp phát hiện tĩnh.

Tổng cộng, có tới 523 tệp SVG đã được phát hiện trong tự nhiên, với mẫu sớm nhất có niên đại từ ngày 14 tháng 8 năm 2025.

VirusTotal cho biết: "Khi xem xét kỹ hơn, chúng tôi thấy rằng các mẫu đầu tiên lớn hơn, khoảng 25 MB và kích thước giảm dần theo thời gian, cho thấy những kẻ tấn công đang phát triển các phần mềm độc hại của chúng".

Tiết lộ này được đưa ra khi các phiên bản bẻ khóa của phần mềm hợp pháp và các chiến thuật theo kiểu ClickFix đang được sử dụng để dụ người dùng lây nhiễm hệ thống Apple macOS của họ bằng phần mềm đánh cắp thông tin có tên là Atomic macOS Stealer ( AMOS ), khiến doanh nghiệp dễ bị đánh cắp thông tin đăng nhập, trộm cắp tài chính và các cuộc tấn công tiếp theo khác.

Trend Micro cho biết : "AMOS được thiết kế để đánh cắp dữ liệu trên diện rộng, có khả năng đánh cắp thông tin đăng nhập, dữ liệu trình duyệt, ví tiền điện tử, tin nhắn Telegram, hồ sơ VPN, mục móc khóa, Apple Notes và tệp từ các thư mục phổ biến. AMOS cho thấy macOS không còn là mục tiêu ngoại vi nữa. Khi các thiết bị macOS ngày càng phổ biến trong môi trường doanh nghiệp, chúng đã trở thành mục tiêu hấp dẫn và sinh lời hơn cho những kẻ tấn công."

Chuỗi tấn công về cơ bản liên quan đến việc nhắm mục tiêu vào những người dùng đang tìm kiếm phần mềm bẻ khóa trên các trang web như haxmac[.]cc, chuyển hướng họ đến các liên kết tải xuống giả mạo cung cấp hướng dẫn cài đặt được thiết kế để lừa họ chạy các lệnh độc hại trên ứng dụng Terminal, do đó kích hoạt việc triển khai AMOS.

Điều đáng chú ý là Apple ngăn chặn việc cài đặt các tệp.dmg không có chứng thực hợp lệ do tính năng bảo vệ Gatekeeper của macOS, yêu cầu các gói ứng dụng phải được một nhà phát triển được xác định ký và được Apple chứng thực.

"Với việc phát hành macOS Sequoia, các nỗ lực cài đặt các tệp.dmg độc hại hoặc chưa được ký, chẳng hạn như các tệp được sử dụng trong các chiến dịch AMOS, sẽ bị chặn theo mặc định", công ty cho biết thêm. "Mặc dù điều này không loại bỏ hoàn toàn rủi ro, đặc biệt là đối với những người dùng có thể bỏ qua các biện pháp bảo vệ tích hợp, nhưng nó sẽ làm tăng rào cản cho việc lây nhiễm thành công và buộc kẻ tấn công phải điều chỉnh phương thức phát tán của chúng."

Đây là lý do tại sao những kẻ tấn công ngày càng tin tưởng vào ClickFix vì nó cho phép cài đặt phần mềm đánh cắp vào máy tính bằng Terminal thông qua lệnh curl được chỉ định trong trang tải xuống phần mềm.

Trend Micro cho biết: "Mặc dù các biện pháp bảo vệ Gatekeeper nâng cao của macOS Sequoia đã chặn thành công các đợt lây nhiễm dựa trên.dmg truyền thống, nhưng các tác nhân đe dọa đã nhanh chóng chuyển sang các phương pháp cài đặt dựa trên thiết bị đầu cuối, vốn tỏ ra hiệu quả hơn trong việc vượt qua các biện pháp kiểm soát bảo mật. Sự thay đổi này nhấn mạnh tầm quan trọng của các chiến lược phòng thủ chuyên sâu, không chỉ dựa vào các biện pháp bảo vệ tích hợp sẵn của hệ điều hành."

Sự phát triển này cũng diễn ra sau khi phát hiện ra một "chiến dịch mạng lan rộng" nhắm vào các game thủ đang tìm kiếm phần mềm gian lận bằng StealC stealer và phần mềm độc hại đánh cắp tiền điện tử, thu về hơn 135.000 đô la.

Theo CyberArk, hoạt động này đáng chú ý vì đã tận dụng khả năng tải của StealC để tải xuống các phần mềm độc hại bổ sung, trong trường hợp này là một chương trình đánh cắp tiền điện tử có thể rút tiền kỹ thuật số từ người dùng trên các máy bị nhiễm.