Uma nova onda de ciberataques está explorando arquivos de Gráficos Vetoriais Escaláveis (SVG) para distribuir malware contornando defesas de segurança convencionais. Analistas de segurança descobriram uma campanha, designada GPUGate, que utiliza imagens SVG maliciosas distribuídas por meio de anúncios do Google comprometidos e commits falsos em repositórios do GitHub.
Os arquivos SVG, comumente usados para gráficos web e logotipos, são imagens vetoriais baseadas em XML que podem conter código JavaScript. Essa capacidade inerente permite que agentes de ameaças incorporem scripts maliciosos dentro de arquivos de imagem aparentemente inocentes. Quando as vítimas abrem esses arquivos SVG em seus navegadores da web, o JavaScript incorporado é executado automaticamente, iniciando a cadeia de infecção.
A campanha GPUGate visa especificamente provedores de serviços de TI e empresas de tecnologia por meio de iscas de phishing cuidadosamente elaboradas. Os atacantes criam postagens de emprego fraudulentas e atualizações de software por meio de anúncios do Google, redirecionando os alvos para sites que hospedam os arquivos SVG maliciosos. Adicionalmente, os agentes de ameaças comprometem contas legítimas do GitHub para enviar commits falsos contendo as imagens manipuladas.
A análise técnica revela que os arquivos SVG empregam técnicas de ofuscação para evitar detecção. O JavaScript malicioso geralmente é codificado ou ocultado dentro da estrutura XML, dificultando que soluções antivírus tradicionais identifiquem a ameaça. Uma vez executado, o script baixa cargas úteis adicionais de servidores de comando e controle, incluindo stealers de informação e trojans de acesso remoto.
Essa metodologia de ataque representa uma evolução significativa na distribuição de malware baseado em arquivo. Diferente de arquivos executáveis que disparam alertas de segurança imediatos, os arquivos SVG normalmente são considerados de baixo risco e frequentemente contornam filtros de conteúdo. A abordagem multivector da campanha, combinando publicidade em mecanismos de busca, exploração de repositórios de código e abuso de formatos de arquivo, demonstra um planejamento operacional sofisticado.
Profissionais de segurança recomendam implementar soluções de desarmamento e reconstrução de conteúdo (CDR) para arquivos SVG, junto com filtragem web aprimorada e educação do usuário sobre os riscos associados à abertura de arquivos de imagem de fontes não confiáveis. As organizações também devem monitorar atividade incomum no GitHub e implementar verificação adicional para commits de código.
O surgimento da distribuição de malware baseada em SVG ressalta o contínuo jogo de gato e rato entre cibercriminosos e provedores de segurança. À medida que as organizações fortalecem defesas contra vetores de ataque tradicionais, os agentes de ameaças recorrem cada vez mais a métodos não convencionais que exploram formatos de arquivo confiáveis e canais de distribuição estabelecidos.
Comentarios 0
¡Únete a la conversación!
Los comentarios estarán disponibles próximamente.