Cuidado com os ficheiros SVG que espalham malware

Uma recente campanha de malware que está a circular oferece um exemplo claro de como os cibercriminosos estão a evoluir e a aperfeiçoar as suas estratégias. Atenção aos ficheiros SVG.

Objetivo final da campanha em várias etapas é instalar o AsyncRAT

Os ataques baseiam-se em engenharia social, com as vítimas a receberem emails que parecem ter sido enviados por instituições de confiança. As mensagens têm um tom de urgência, alertando os destinatários sobre processos ou intimações judiciais. Esta é, obviamente, uma tática comprovada que visa assustar os destinatários para que cliquem em links ou abram anexos sem pensar duas vezes.

O objetivo final da campanha em várias etapas é instalar o AsyncRAT, um trojan de acesso remoto (RAT) que, conforme também descrito pelos investigadores da ESET, permite que os atacantes monitorizem e controlem remotamente os dispositivos comprometidos. Detetado pela primeira vez em 2019 e disponível em várias variantes, este RAT pode registar teclas premidas, captar imagens de ecrã, sequestrar câmaras e microfones, e roubar credenciais de login armazenadas em navegadores web.

Até aqui, tudo normal. No entanto, uma coisa que diferencia esta campanha da maioria das campanhas semelhantes é o uso de ficheiros SVG (Scalable Vector Graphics) sobredimensionados que contêm “o pacote completo”. Isto elimina a necessidade de ligações externas a um servidor C&C remoto como forma de enviar comandos para dispositivos comprometidos ou descarregar cargas maliciosas adicionais. Os atacantes também parecem confiar, pelo menos em parte, em ferramentas de inteligência artificial (IA) para os ajudar a gerar ficheiros personalizados para cada alvo.

Ataques envolvendo imagens maliciosas em geral, como ficheiros JPG ou PNG, não são novidade, nem é a primeira vez que ficheiros SVG são especificamente utilizados como arma para distribuir RATs e outros malwares. A técnica, chamada de “contrabando SVG”, foi recentemente adicionada à base de dados MITRE ATT&CK após ser identificada num número crescente de ataques.

O que torna o SVG tão atraente para os invasores?

Os SVGs são ficheiros de imagem vetoriais versáteis e leves, escritos em eXtensible Markup Language (XML) e úteis para armazenar texto, formas e gráficos escaláveis, daí a sua utilização em design web e gráfico. A capacidade dos SVGs de transportar scripts, links incorporados e elementos interativos torna-os propícios ao abuso, ao mesmo tempo que aumenta as hipóteses de escapar à deteção por algumas ferramentas de segurança tradicionais.

Esta campanha específica, que tinha como alvo principal a Colômbia, começa com uma mensagem de email aparentemente legítima que inclui um anexo SVG. Ao clicar no ficheiro, que normalmente tem mais de 10 MB, não se abre um simples gráfico, tabela ou ilustração – em vez disso, o navegador web (onde os ficheiros SVG são carregados por predefinição) exibe um portal que se faz passar pelo sistema judicial da Colômbia. O utilizador ainda chega a testemunhar um “fluxo de trabalho” completo com páginas de verificação falsas e uma barra de progresso.

Campanhas típicas de phishing e malware enviam o mesmo anexo para inúmeras caixas de entrada. Aqui, cada vítima recebe um ficheiro diferente. Embora todos sigam o mesmo padrão, cada ficheiro é preenchido com dados aleatórios, tornando cada amostra única. Esta aleatoriedade, que provavelmente envolve o uso de um kit que gera os ficheiros sob demanda, também é projetada para complicar as coisas para os produtos de segurança e os defensores.

Ao empacotar tudo em ficheiros SVG independentes e de aparência inofensiva, e possivelmente aproveitando modelos gerados por IA, os atacantes procuram ampliar as suas operações e elevar o nível de engano.

A vigilância é fundamental. Evite clicar em links e anexos não solicitados, especialmente quando as mensagens usam linguagem urgente. Além disso, trate os ficheiros SVG com extrema desconfiança; na verdade, nenhuma agência governamental enviará um ficheiro SVG como anexo de email. Reconhecer estes sinais de alerta básicos pode significar a diferença entre evitar a armadilha e entregar aos invasores as chaves do seu dispositivo.

É claro que deve combinar essa vigilância com práticas básicas de cibersegurança, como usar senhas fortes e exclusivas, juntamente com autenticação de dois fatores (2FA), sempre que disponível. O software de segurança em todos os seus dispositivos também é uma linha de defesa imprescindível contra todos os tipos de ciberameaças.