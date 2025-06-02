Ao longo de 2025, IBM X-Force monitorou uma campanha de phishing direcionada a instituições financeiras em todo o mundo. Esta operação aproveita arquivos Scalable Vector Graphics (SVG) armados e incorporados com JavaScript para iniciar infecções malware em vários estágios. Embora o uso de SVGs em phishing não seja novo, relatórios recentes indicam um aumento notável nessa tática, sinalizando uma mudança mais ampla no cenário.
Esta campanha vai além da coleta tradicional de credenciais, empregando carregadores avançados, Trojans de acesso remoto modulares (RATs) e infraestrutura confiável como Amazon S3 e Telegram para comando e controle (C2). A atividade mostra como os invasores estão evoluindo as técnicas de phishing em operações de acesso inicial em grande escala.
A análise da X-Force descobriu uma campanha global de phishing que utiliza arquivos SVG como vetor inicial de ataque. Esses arquivos, disfarçados como documentos de transações financeiras, contêm JavaScript incorporado que grava um arquivo ZIP no sistema. Dentro do arquivo, um arquivo JavaScript inicia uma cadeia de infecção por malware , por fim, implementando RATs como Blue Banana, SambaSpy e SessionBot. Essas cargas úteis são projetadas para roubo de credenciais, sequestro de sessão, vigilância e exfiltração de dados, representando riscos significativos para as organizações visadas.
O malware se comunica via Amazon S3 e a API do Telegram Bot, misturando-se ao tráfego legítimo e complicando os esforços de detecção. Por utilizar um formato de arquivo raramente examinado em filtros de phishing, a campanha contorna as defesas tradicionais com facilidade.
Essa abordagem reflete um padrão emergente em relatórios recentes de OSINT, blogs técnicos e análises do setor, destacando como os SVGs são cada vez mais explorados para incorporar carregadores de malware e redirecionar vítimas para conteúdo malicioso.
Notavelmente, o uso de iscas com o tema SWIFT na campanha - fazendo referência à Society for Worldwide Interbank Financial Telelecommunications (SWIFT), a rede global usada pelas instituições financeiras para mensagens seguras - sugere um foco deliberado nas vítimas no setor financeiro.
Essa atividade ilustra uma tendência mais ampla na habilidade de phishing: os invasores estão indo além do roubo de credenciais para oferecer malware avançado usando vetores criativos e discretos. Os defensores devem adaptar a lógica de detecção e o treinamento dos funcionários, reconhecendo que até mesmo tipos de arquivos inócuos, como SVGs, agora podem atuar como plataformas de distribuição de malware.
Ao contrário das campanhas típicas de phishing , que visam o roubo de credenciais por meio de páginas de login falsificadas, esta campanha passou de isca para carregador, transformando o que parecia ser um arquivo de imagem no ponto de partida para uma cadeia de infecção por malware em vários estágios.
A fase de acesso inicial da campanha envolveu e-mails de phishing que se passavam pela SWIFT Global Services, solicitando que os destinatários fizessem avaliações das confirmações de pagamento ou transferência urgentes. O arquivo anexado, apresentado como um documento legítimo, era um SVG equipado com JavaScript.
Uma vez processada, a vítima é instruída a baixar um relatório que parece ser um arquivo PDF; no entanto, selecionar qualquer um dos PDFs acionará o JavaScript para salvar um arquivo ZIP no sistema.
Depois que o arquivo é extraído e descompactado, as vítimas encontram um arquivo chamado Swift Transaction Report.js que contém JavaScript ofuscado. O script foi projetado para evitar a detecção usando codificação de fuga Unicode e técnicas de concatenação de strings. A execução do script acionará o download de um arquivo Java Archive (JAR) altamente ofuscado, como Swift Confirmation Copy.jar e Tranzacție+în+USD-pdf.jar. Eles atuaram como downloaders de primeiro estágio, utilizando ofuscadores como Branchlock e Zelix KlassMaster para evitar análises estáticas e comportamentais.
A IBM X-Force analisou algumas amostras de SVG que eliminaram o downloader JAR em vez do arquivo ZIP contendo o JavaScript, ignorando uma etapa da cadeia de infecção.
Se o sistema de destino tivesse o Java Runtime Environment (JRE) instalado, o carregador executaria e iniciaria uma série de verificações ambientais para detectar ferramentas de área de testes ou análise. Isso incluiu a inspeção de processos do sistema e indicadores de entropia e virtualização. Somente depois de validar um ambiente de usuário real, o malware tentou recuperar cargas úteis de segundo estágio.
Para isso, ele recorreu a buckets do Amazon S3 controlados por invasores, misturando downloads maliciosos ao tráfego de serviços de nuvem confiáveis. Algumas variantes incorporavam as cargas criptografadas dentro de arquivos falsos de aparência benigna para reduzir ainda mais a probabilidade de detecção durante a transferência.
Após a aprovação nas verificações de evasão, o carregador estabeleceu conexões de saída com buckets do Amazon S3 controlados pelo invasor para recuperar cargas úteis criptografados da segunda etapa. O uso da infraestrutura baseada na nuvem adicionou complexidade aos esforços de detecção, já que o tráfego para serviços como o amazonaws.com frequentemente se mistura com a atividade empresarial normal.
Observaram-se cargas úteis sendo baixadas de:
Após a descriptografia e descompactação, o malware gravou arquivos em locais de persistência importantes, incluindo:
Além da persistência baseada em arquivos, algumas variantes registravam tarefas agendadas ou modificavam chaves de execução automática de registro para manter o acesso nas reinicializações do sistema. Várias amostras também atrasaram a execução ou fecharam funcionalidades com base na interação do usuário, complicando ainda mais a detecção por meio de áreas de testes automatizadas.
O malware implementado nesta campanha exibe uma arquitetura modular, permitindo que os operadores adaptem a funcionalidade com base no ambiente e nos objetivos da vítima. O IBM X-Force observou o uso de múltiplas cargas com vigilância sobreposta, roubo de dados e recursos de persistência.
Além disso, a campanha empregava um ladrão de e-mail focado no Outlook (email.js) executado via wscript.exe. Ele escaneou perfis do Outlook, extraiu o conteúdo da caixa de entrada e preparou os dados para exfiltração por meio de solicitações HTTP POST baseadas em Telegram.
Para ocultar sua atividade, o malware descarta arquivos falsos de aparência benigna (por exemplo, Tranzacție+în+USD-pdf.txt, Swift Confirmation Copy.pdf) que foi aberto após a execução, reforçando a iluminação de legitimidade enquanto processos maliciosos eram executados em segundo plano.
Além da infraestrutura do Amazon S3 descrita anteriormente, a campanha aproveitou a API do bot do Telegram para comando e controle pós-comprometimento (C2). Essa abordagem permitiu que os agentes da ameaça interagissem com hosts infectados, exfiltrassem dados confidenciais e emitissem instruções dinamicamente, tudo sobre a infraestrutura de mensagens criptografadas comumente permitida em ambientes corporativos.
As comunicações C2 foram roteadas através de:
Esses canais foram usados para reconhecimento do sistema, extração de dados da caixa de entrada do Outlook e captura de arquivos por módulos malware como o SessionBot e o ladrão de dados do Outlook e-mail.js . O uso do Telegram proporcionou anonimato, criptografia e facilidade operacional, além de complicar a detecção por meio do monitoramento de rede convencional.
Esse modelo de infraestrutura de canal duplo — combinando hospedagem baseada na nuvem de carga útil com mensagens criptografadas — reflete uma tendência crescente entre os agentes da ameaça com motivação financeira de misturar tráfego malicioso em serviços confiáveis, prolongando o tempo de espera e aumentando a probabilidade de sucesso.
O X-Force observou evidências de uma mudança, deixando de usar iscas com temas SWIFT para iscas com temas de investigação de crimes financeiros, a partir do final de abril.
O arquivo SVG que utiliza esse tema salvou um arquivo JAR, Case No.86-2025.jar, no disco. Esse JAR é o mesmo downloader baseado em Java usado na campanha com o tema SWIFT. Outra mudança incluiu um RAT baseado em Java, 'STRRAT ', que foi observado sendo baixado junto com os RATs SambaSpy e Blue Banana. A STRRAT é conhecida por seus recursos de roubo de informações e flexibilidade no desempenho de várias funções maliciosas. Apesar de ser relativamente leve, o STRRAT é capaz de imitar o comportamento de ransomware e permitir o controle remoto total sobre os sistemas infectados.
Essa campanha reflete uma evolução mais ampla na habilidade de phishing — indo além da coleta de credenciais em direção à entrega modular de malware, acesso a longo prazo e exfiltração de dados. Ao abusar de arquivos SVG, um formato muitas vezes negligenciado pelos filtros de segurança, os agentes de ameaça demonstram disposição para exploração de lacunas na lógica de detecção convencional.
O uso de iscas com temas SWIFT destaca um foco deliberado nas instituições financeiras, aproveitando a familiaridade e a confiança para aumentar as taxas de cliques. Combinados com infraestrutura baseada na nuvem e canais de mensagens criptografados como o Telegram, os invasores misturam efetivamente atividades maliciosas no tráfego normal, reduzindo a probabilidade de detecção.
Para os defensores, isso ressalta a necessidade de reavaliar as suposições sobre tipos de arquivos “seguros” e a infraestrutura benigna. O phishing não é mais apenas um problema de e-mail, é um ponto de entrada para ataques de intrusão sofisticados e de vários estágios. As organizações devem permanecer vigilantes, ampliando a visibilidade para vetores não tradicionais e adaptando continuamente a lógica de detecção para acompanhar o ritmo da inovação dos invasores.
As organizações podem reduzir sua exposição a campanhas como essa combinando endpoint, configuração segura e Educação.
Indicador
Tipo de indicador
Contexto
141e8bf99ff6b58816951ed8bfd82
Hash de arquivo SHA256
Tranzacție+în+USD-pdf.jar (downloader Java)
ae345b40d165255284bf4c6ab00
Hash de arquivo SHA256
Swift Confirmation Copy.jar (downloader Java)
a4ed118f15c5c943d5964fe381f1bd
Hash de arquivo SHA256
Case No.86-2025.jar (downloader do Java)
6a9f195f6fa9b298b94235b9b7dfa
Hash de arquivo SHA256
email.js (ladrão de e-mails do Outlook)
8bcba87df6d459a573441fb848b9
Hash de arquivo SHA256
Swift Confirmation Copy.pdf (arquivo de isca)
701435e822a78b82d53281af3ffb2
Hash de arquivo SHA256
Swift Transaction Report.js (downloader JavaScript)
f92240185abf62317800180aba0fb
Hash de arquivo SHA256
windowsdefi.jar (Blue Banana RAT)
b0dcc56ae5e90f6f2f4d05c679508
Hash de arquivo SHA256
soso.jar (SambaSpy RAT)
bc039b022d1a60cb519ae0f43f07d
Hash de arquivo SHA256
core.jar (STRRAT RAT)
6ebab76c90cb36c09119a922d385
Hash de arquivo SHA256
tg.jar (SessionBot Implant)
tcp[:]//wwce.zapto[.]org:443
Domínio
C2 para SambaSpy e Blue Banana RATs
tcp[:]//wce.zapto[.]org:443
Domínio
C2 para SambaSpy e Blue Banana RATs
str-master[.]pw
Domínio
C2 para STRRAT
api.telegram[.]org
Domínio
Exfiltração e comunicação de bot via API do Telegram
https[:]//octupusgreat.s3.us-east-1.amazonaws[.]com
URL
Carga útil inicial hospedada no bucket do Amazon S3
https[:]//seasongretting.s3.eu-west-1.amazonaws[.]com
URL
Cargas úteis hospedadas no bucket do Amazon S3
https[:]//seasonmonster.s3.us-east-1.amazonaws[.]com
URL
Cargas úteis hospedadas no bucket do Amazon S3
https[:]//fullpremier.s3.eu-west-1.amazonaws[.]com
URL
Cargas úteis hospedadas no bucket do Amazon S3
java -jar Tranzac–ie+în+USD-pdf.jar
Processo
Comando de execução de malware
tasklist.exe
Processo
Usado por malware para enumerar ferramentas de análise
wscript.exe email.js
Processo
Executa o processo de roubo de e-mail
swiftzjy1@financeplus[.]me
Endereço de e-mail
E-mail do agente da ameaça
swiftkbp1@farmaciafamiliei[.]md
Endereço de e-mail
E-mail do agente da ameaça
swiftkcs1@farmaciafamiliei[.]md
Endereço de e-mail
E-mail do agente da ameaça
swiftotb1@financeplus[.]me
Endereço de e-mail
E-mail do agente da ameaça
swiftugt1@financeplus[.]me
Endereço de e-mail
E-mail do agente da ameaça
swiftvqz1@financeplus[.]me
Endereço de e-mail
E-mail do agente da ameaça
swiftzjy1@financeplus[.]me
Endereço de e-mail
E-mail do agente da ameaça
Swift Confirmation Copy.jar
Arquivo Java
JAR malicioso usado na execução inicial
Swift Transaction Report.js
Arquivo JavaScript
Carregador de JavaScript ofuscado
Swift Confirmation Copy.pdf
Arquivo PDF
Arquivo PDF de isca mostrado após a infecção inicial
O IBM X-Force Premier Threat Intelligence agora está integrado ao OpenCTI pela Filigran, fornecendo inteligência de ameaças praticável sobre essa atividade de ameaças e muito mais. Acesse insights sobre agentes da ameaça, malware e riscos dos setores. Instale o X-Force OpenCTI Connector para aprimorar a detecção e a resposta, fortalecendo sua cibersegurança com a experiência do IBM X-Force. Obtenha hoje mesmo uma avaliação de 30 dias do X-Force Premier Threat Intelligence!
Entenda as ameaças mais recentes e fortaleça suas defesas na nuvem com o relatório X-Force Cloud Threat Landscape
Aprenda a resolver os desafios e aproveitar a resiliência da IA generativa na cibersegurança.
Proteja sua organização contra ameaças globais com a equipe do IBM® X-Force, formada por hackers, especialistas em resposta a incidentes, pesquisadores e analistas, que trabalha com foco nas ameaças.
Use as soluções de detecção e resposta a ameaças da IBM para fortalecer sua segurança e acelerar a detecção de ameaças.
Proteja seu ambiente móvel com as soluções abrangentes de defesa contra ameaças móveis do IBM MaaS360.
Tenha soluções abrangentes de gerenciamento de ameaças, protegendo habilmente a sua empresa contra os ataques cibernéticos.