Исследователи из VirusTotal зафиксировали новую схему распространения вредоносного программного обеспечения, при которой злоумышленники встраивают вредоносный код в SVG-файлы. Эти файлы имитируют внешний вид официальных веб-ресурсов и вводят пользователей в заблуждение, заставляя их самостоятельно загружать и запускать вредоносный код.
Специалисты обратили внимание на угрозу после того, как в платформу Code Insight была добавлена поддержка анализа SVG-файлов. Это позволило выявить более 500 образцов вредоносных файлов, используемых в рамках одной кампании. Все они оформлены в виде документов или веб-страниц, имитирующих сайт судебной системы Колумбии.
SVG-файлы (Scalable Vector Graphics) — это масштабируемый графический формат на основе XML. Благодаря открытой структуре, в него можно встроить не только векторные элементы, но и JavaScript, CSS, а также внешние ссылки. Это делает его удобным инструментом для отображения сложных интерфейсов в браузере, но одновременно открывает возможности для злоупотреблений со стороны хакеров.
В описанном случае, при открытии вредоносного SVG-файла в браузере пользователь видел достоверную имитацию правительственного портала с интерфейсом загрузки документа, полем для ввода пароля, фальшивым номером дела и визуальными элементами, повышающими доверие. После завершения «загрузки» пользователю предлагалось сохранить на компьютер ZIP-архив, якобы содержащий судебные материалы.
В архиве находились:

переименованный файл браузера Comodo Dragon;
вредоносная DLL-библиотека;
два зашифрованных файла.

Если пользователь запускал исполняемый файл, считая его безопасным, автоматически активировалась вредоносная библиотека, которая устанавливала в систему дополнительное ПО. Таким образом обеспечивалась дальнейшая загрузка компонентов и развитие атаки.
VirusTotal отмечает, что кампания до последнего времени оставалась невидимой для большинства антивирусных решений и систем защиты конечных точек. Это объясняется тем, что SVG-файлы редко вызывают подозрения у пользователей, а антивирусы не всегда глубоко анализируют содержимое графических форматов, особенно если они не сопровождаются явной активностью.
Подозревается, что вредоносные SVG распространялись через фишинговые рассылки, замаскированные под уведомления от судебных органов. Ранее, в феврале 2025 года, уже фиксировался рост числа атак с использованием вложений в формате SVG.
На данный момент подтверждено, что жертвами этой схемы стали, скорее всего, жители Колумбии, однако учитывая универсальность метода и распространённость XML-совместимых браузеров, угроза может быть масштабирована на другие регионы.