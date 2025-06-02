A análise da X-Force descobriu uma campanha global de phishing que utiliza arquivos SVG como vetor inicial de ataque. Esses arquivos, disfarçados como documentos de transações financeiras, contêm JavaScript incorporado que grava um arquivo ZIP no sistema. Dentro do arquivo, um arquivo JavaScript inicia uma cadeia de infecção por malware , por fim, implementando RATs como Blue Banana, SambaSpy e SessionBot. Essas cargas úteis são projetadas para roubo de credenciais, sequestro de sessão, vigilância e exfiltração de dados, representando riscos significativos para as organizações visadas.

O malware se comunica via Amazon S3 e a API do Telegram Bot, misturando-se ao tráfego legítimo e complicando os esforços de detecção. Por utilizar um formato de arquivo raramente examinado em filtros de phishing, a campanha contorna as defesas tradicionais com facilidade.

Essa abordagem reflete um padrão emergente em relatórios recentes de OSINT, blogs técnicos e análises do setor, destacando como os SVGs são cada vez mais explorados para incorporar carregadores de malware e redirecionar vítimas para conteúdo malicioso.

Notavelmente, o uso de iscas com o tema SWIFT na campanha - fazendo referência à Society for Worldwide Interbank Financial Telelecommunications (SWIFT), a rede global usada pelas instituições financeiras para mensagens seguras - sugere um foco deliberado nas vítimas no setor financeiro.

Essa atividade ilustra uma tendência mais ampla na habilidade de phishing: os invasores estão indo além do roubo de credenciais para oferecer malware avançado usando vetores criativos e discretos. Os defensores devem adaptar a lógica de detecção e o treinamento dos funcionários, reconhecendo que até mesmo tipos de arquivos inócuos, como SVGs, agora podem atuar como plataformas de distribuição de malware.