SVGs armados: Por dentro de uma campanha global de phishing voltada para instituições financeiras

Uma mão segurando um smartphone contra um fundo azul com um envelope branco pendurado em um anzol acima.

Ao longo de 2025, IBM X-Force  monitorou uma campanha de phishing direcionada a instituições financeiras em todo o mundo. Esta operação aproveita arquivos Scalable Vector Graphics (SVG) armados e incorporados com JavaScript para iniciar infecções malware em vários estágios. Embora o uso de SVGs em phishing não seja novo, relatórios recentes indicam um aumento notável nessa tática, sinalizando uma mudança mais ampla no cenário.

Esta campanha vai além da coleta tradicional de credenciais, empregando carregadores avançados, Trojans de acesso remoto modulares (RATs) e infraestrutura confiável como Amazon S3 e Telegram para comando e controle (C2). A atividade mostra como os invasores estão evoluindo as técnicas de phishing em operações de acesso inicial em grande escala.

Conclusões principais:

  • SVGs armados como acesso inicial: os agentes da ameaça estão usando arquivos SVG incorporados com JavaScript para ignorar os filtros de segurança tradicionais e iniciar infecções por malware em vários estágios.
  • Segmentação do setor financeiro: a campanha usa iscas com temas de SWIFT para personificar uma comunicação financeira confiável, visando especificamente instituições financeiras em várias regiões.
  • Entrega de malware baseada em Java: quando executado, o JavaScript incorporado ao SVG deixa um arquivo ZIP contendo um arquivo JavaScript que é usado para fazer download de um carregador baseado em Java. Se Java estiver presente, ele implementará malware modular, incluindo Blue Banana RAT, SambaSpy e SessionBot.
  • Táticas avançadas de evasão: o malware realiza verificações de anti-análise e validação ambiental para garantir a execução somente em ambientes de usuário real não isolados.
  • Abuso de infraestrutura legítima: as cargas úteis e as comunicações C2 são roteadas por meio do Amazon S3 e do Telegram, ajudando a atividade a se misturar ao tráfego empresarial normal e a evitar a detecção.
  • Tendência emergente de comércio: essa campanha reflete uma mudança mais ampla nas técnicas de phishing, em que os invasores abusam cada vez mais de formatos de arquivo não tradicionais, como SVG, para promover malware.
Visão geral da campanha

A análise da X-Force descobriu uma campanha global de phishing que utiliza arquivos SVG como vetor inicial de ataque. Esses arquivos, disfarçados como documentos de transações financeiras, contêm JavaScript incorporado que grava um arquivo ZIP no sistema. Dentro do arquivo, um arquivo JavaScript inicia uma cadeia de infecção por malware , por fim, implementando RATs como Blue Banana, SambaSpy e SessionBot. Essas cargas úteis são projetadas para roubo de credenciais, sequestro de sessão, vigilância e exfiltração de dados, representando riscos significativos para as organizações visadas.

O malware se comunica via Amazon S3 e a API do Telegram Bot, misturando-se ao tráfego legítimo e complicando os esforços de detecção. Por utilizar um formato de arquivo raramente examinado em filtros de phishing, a campanha contorna as defesas tradicionais com facilidade.

Essa abordagem reflete um padrão emergente em relatórios recentes de OSINT, blogs técnicos e análises do setor, destacando como os SVGs são cada vez mais explorados para incorporar carregadores de malware e redirecionar vítimas para conteúdo malicioso.

Notavelmente, o uso de iscas com o tema SWIFT na campanha - fazendo referência à Society for Worldwide Interbank Financial Telelecommunications (SWIFT), a rede global usada pelas instituições financeiras para mensagens seguras - sugere um foco deliberado nas vítimas no setor financeiro.

Essa atividade ilustra uma tendência mais ampla na habilidade de phishing: os invasores estão indo além do roubo de credenciais para oferecer malware avançado usando vetores criativos e discretos. Os defensores devem adaptar a lógica de detecção e o treinamento dos funcionários, reconhecendo que até mesmo tipos de arquivos inócuos, como SVGs, agora podem atuar como plataformas de distribuição de malware.

Por dentro da campanha

Ao contrário das campanhas típicas de phishing , que visam o roubo de credenciais por meio de páginas de login falsificadas, esta campanha passou de isca para carregador, transformando o que parecia ser um arquivo de imagem no ponto de partida para uma cadeia de infecção por malware em vários estágios.

Entrega inicial: isca disfarçada de imagem

A fase de acesso inicial da campanha envolveu e-mails de phishing que se passavam pela SWIFT Global Services, solicitando que os destinatários fizessem avaliações das confirmações de pagamento ou transferência urgentes. O arquivo anexado, apresentado como um documento legítimo, era um SVG equipado com JavaScript.

Uma vez processada, a vítima é instruída a baixar um relatório que parece ser um arquivo PDF; no entanto, selecionar qualquer um dos PDFs acionará o JavaScript para salvar um arquivo ZIP no sistema.

Exemplo de e-mail de phishing da SWIFT enviado às organizações das vítimas
Figura 1: Exemplo de e-mail de phishing SWIFT enviado às organizações de vítimas
Exemplo de arquivo SVG renderizado
Figura 2: Exemplo de arquivo SVG renderizado

De SVG a carregador de malware

Depois que o arquivo é extraído e descompactado, as vítimas encontram um arquivo chamado Swift Transaction Report.js que contém JavaScript ofuscado. O script foi projetado para evitar a detecção usando codificação de fuga Unicode e técnicas de concatenação de strings. A execução do script acionará o download de um arquivo Java Archive (JAR) altamente ofuscado, como Swift Confirmation Copy.jar e Tranzacție+în+USD-pdf.jar. Eles atuaram como downloaders de primeiro estágio, utilizando ofuscadores como Branchlock e Zelix KlassMaster para evitar análises estáticas e comportamentais.

A IBM X-Force analisou algumas amostras de SVG que eliminaram o downloader JAR em vez do arquivo ZIP contendo o JavaScript, ignorando uma etapa da cadeia de infecção.

Se o sistema de destino tivesse o Java Runtime Environment (JRE) instalado, o carregador executaria e iniciaria uma série de verificações ambientais para detectar ferramentas de área de testes ou análise. Isso incluiu a inspeção de processos do sistema e indicadores de entropia e virtualização. Somente depois de validar um ambiente de usuário real, o malware tentou recuperar cargas úteis de segundo estágio.

Para isso, ele recorreu a buckets do Amazon S3 controlados por invasores, misturando downloads maliciosos ao tráfego de serviços de nuvem confiáveis. Algumas variantes incorporavam as cargas criptografadas dentro de arquivos falsos de aparência benigna para reduzir ainda mais a probabilidade de detecção durante a transferência.

Execução de carga útil e implementação de malware

Após a aprovação nas verificações de evasão, o carregador estabeleceu conexões de saída com buckets do Amazon S3 controlados pelo invasor para recuperar cargas úteis criptografados da segunda etapa. O uso da infraestrutura baseada na nuvem adicionou complexidade aos esforços de detecção, já que o tráfego para serviços como o amazonaws.com frequentemente se mistura com a atividade empresarial normal.

Observaram-se cargas úteis sendo baixadas de:

  • octupusgreat.s3.us-east-1.amazonaws[.]com
  • seasongretting.s3.eu-west-1.amazonaws[.]com
  • seasonmonster.s3.us-east-1.amazonaws[.]com

Após a descriptografia e descompactação, o malware gravou arquivos em locais de persistência importantes, incluindo:

  • %AppData%\Microsoft\Windows\Start Menu\Programs\Startup\ — garantindo a execução após o login do usuário
  • %AppData%\Microsoft\Vault\cred\ — suspeito de ser usado para preparar arquivos falso e armazenar dados exfiltrados

Além da persistência baseada em arquivos, algumas variantes registravam tarefas agendadas ou modificavam chaves de execução automática de registro para manter o acesso nas reinicializações do sistema. Várias amostras também atrasaram a execução ou fecharam funcionalidades com base na interação do usuário, complicando ainda mais a detecção por meio de áreas de testes automatizadas.

Recursos modulares de RAT

O malware implementado nesta campanha exibe uma arquitetura modular, permitindo que os operadores adaptem a funcionalidade com base no ambiente e nos objetivos da vítima. O IBM X-Force observou o uso de múltiplas cargas com vigilância sobreposta, roubo de dados e recursos de persistência.

  • Blue Banana RAT
    Entregue via um arquivo JAR ofuscado (windowsdefi.jar), O Blue Banana permite acesso remoto ao shell, execução de arquivos, coleta de credenciais (por exemplo, FileZilla) e até participação em DDoS. Ele foi protegido usando ofuscadores Branchlock, Zelix KlassMaster e Allatori para complicar a análise.
  • SambaSpy RAT
    Comunicação via domínios DDNS sem IP (por exemplo, wwce.zapto[.]org), O SambaSpy suporta acesso à webcam, keylogging, monitoramento da área de transferência e manipulação de arquivos. Ele utiliza canais criptografados em AES para exfiltração de dados segura e oferece suporte à extensibilidade baseada em plug-ins.
  • Implante de SessionBot
    Esse implante leve (tg.jar) realiza o reconhecimento do sistema, coletando detalhes como histórico de RDP, sessões de usuário e rede e geolocalização de IP público. Ele aproveita a API do Telegram Bot para exfiltração e comando e controle, muitas vezes baixando módulos adicionais como 1.jar, 2.jar ou recovery.jar.

Além disso, a campanha empregava um ladrão de e-mail focado no Outlook (email.js) executado via wscript.exe. Ele escaneou perfis do Outlook, extraiu o conteúdo da caixa de entrada e preparou os dados para exfiltração por meio de solicitações HTTP POST baseadas em Telegram.

Para ocultar sua atividade, o malware descarta arquivos falsos de aparência benigna (por exemplo, Tranzacție+în+USD-pdf.txt, Swift Confirmation Copy.pdf) que foi aberto após a execução, reforçando a iluminação de legitimidade enquanto processos maliciosos eram executados em segundo plano.

Infraestrutura de comando e controle

Além da infraestrutura do Amazon S3 descrita anteriormente, a campanha aproveitou a API do bot do Telegram para comando e controle pós-comprometimento (C2). Essa abordagem permitiu que os agentes da ameaça interagissem com hosts infectados, exfiltrassem dados confidenciais e emitissem instruções dinamicamente, tudo sobre a infraestrutura de mensagens criptografadas comumente permitida em ambientes corporativos.

As comunicações C2 foram roteadas através de:

  • api.telegram[.]org/bot7369538001...
  • api.telegram[.]org/bot7819421465...

Esses canais foram usados para reconhecimento do sistema, extração de dados da caixa de entrada do Outlook e captura de arquivos por módulos malware como o SessionBot e o ladrão de dados do Outlook e-mail.js . O uso do Telegram proporcionou anonimato, criptografia e facilidade operacional, além de complicar a detecção por meio do monitoramento de rede convencional.

Esse modelo de infraestrutura de canal duplo — combinando hospedagem baseada na nuvem de carga útil com mensagens criptografadas — reflete uma tendência crescente entre os agentes da ameaça com motivação financeira de misturar tráfego malicioso em serviços confiáveis, prolongando o tempo de espera e aumentando a probabilidade de sucesso.

Mudança de tema

O X-Force observou evidências de uma mudança, deixando de usar iscas com temas SWIFT para iscas com temas de investigação de crimes financeiros, a partir do final de abril.

Exemplo de um arquivo SVG usando uma isca com tema de investigação de crimes financeiros
Figura 3: Exemplo de um arquivo SVG usando uma isca com tema de investigação de crimes financeiros

O arquivo SVG que utiliza esse tema salvou um arquivo JAR, Case No.86-2025.jar, no disco. Esse JAR é o mesmo downloader baseado em Java usado na campanha com o tema SWIFT. Outra mudança incluiu um RAT baseado em Java, 'STRRAT ', que foi observado sendo baixado junto com os RATs SambaSpy e Blue Banana. A STRRAT é conhecida por seus recursos de roubo de informações e flexibilidade no desempenho de várias funções maliciosas. Apesar de ser relativamente leve, o STRRAT é capaz de imitar o comportamento de ransomware e permitir o controle remoto total sobre os sistemas infectados.

Por que isso é importante

Essa campanha reflete uma evolução mais ampla na habilidade de phishing — indo além da coleta de credenciais em direção à entrega modular de malware, acesso a longo prazo e exfiltração de dados. Ao abusar de arquivos SVG, um formato muitas vezes negligenciado pelos filtros de segurança, os agentes de ameaça demonstram disposição para exploração de lacunas na lógica de detecção convencional.

O uso de iscas com temas SWIFT destaca um foco deliberado nas instituições financeiras, aproveitando a familiaridade e a confiança para aumentar as taxas de cliques. Combinados com infraestrutura baseada na nuvem e canais de mensagens criptografados como o Telegram, os invasores misturam efetivamente atividades maliciosas no tráfego normal, reduzindo a probabilidade de detecção.

Para os defensores, isso ressalta a necessidade de reavaliar as suposições sobre tipos de arquivos “seguros” e a infraestrutura benigna. O phishing não é mais apenas um problema de e-mail, é um ponto de entrada para ataques de intrusão sofisticados e de vários estágios. As organizações devem permanecer vigilantes, ampliando a visibilidade para vetores não tradicionais e adaptando continuamente a lógica de detecção para acompanhar o ritmo da inovação dos invasores.

Recomendações:

As organizações podem reduzir sua exposição a campanhas como essa combinando endpoint, configuração segura e Educação.

  • Mantenha as ferramentas de antivírus e EDR atualizadas: certifique-se de que os mecanismos de detecção estejam atualizados para identificar cargas úteis e comportamentos conhecidos associados a malware baseado em Java.
  • Imponha a autenticação multifatorial (MFA): aplique a MFA em todas as contas de usuários, especialmente aquelas usadas para e-mail, acesso remoto e sistemas financeiros.
  • Aplique patches de software imediatamente: mantenha ciclos de patches regulares para sistemas operacionais, tempos de execução Java, navegadores e clientes de e-mail para reduzir as oportunidades de exploração.
  • Desativar macros por padrão: impede a execução de macros de anexos de e-mail, a menos que seja explicitamente aprovado e assinado.
  • Aplicação de privilégios mínimos: limite as permissões da conta de usuário apenas ao necessário para reduzir o raio de alcance de um comprometimento bem-sucedido.
  • Monitorar o abuso da nuvem: inspecione o tráfego de rede de saída em busca de conexões suspeitas com plataformas de armazenamento em nuvem, como Amazon S3, especialmente para buckets desconhecidos ou mal configurados.
  • Treine os funcionários sobre as táticas de phishing: instrua a equipe, especialmente as funções financeiras e administrativas, sobre como reconhecer iscas suspeitas, tipos de arquivos e métodos de entrega.

Indicadores de compromisso

Indicador

Tipo de indicador

Contexto

141e8bf99ff6b58816951ed8bfd82
1079d8082be6c02cb36f0fd1ffe4e
06e664

Hash de arquivo SHA256

Tranzacție+în+USD-pdf.jar (downloader Java)

ae345b40d165255284bf4c6ab00
a871fcb035b552ac0b20b3cfb19e4
644e49b7

Hash de arquivo SHA256

Swift Confirmation Copy.jar (downloader Java)

a4ed118f15c5c943d5964fe381f1bd
4f9ce02d4c0f0212d3f2e95a0e37e
2d1a2

Hash de arquivo SHA256

Case No.86-2025.jar (downloader do Java)

6a9f195f6fa9b298b94235b9b7dfa
415f67ce29d0f5135d3e6705ae3c8
4da88b

Hash de arquivo SHA256

email.js (ladrão de e-mails do Outlook)

8bcba87df6d459a573441fb848b9
0451d65bce3a0f2ac08844c09892
2672b734

Hash de arquivo SHA256

Swift Confirmation Copy.pdf (arquivo de isca)

701435e822a78b82d53281af3ffb2
0b3732462ec99c6f36afdfc6f8eed
4123f9

Hash de arquivo SHA256

Swift Transaction Report.js (downloader JavaScript)

f92240185abf62317800180aba0fb
da19d8e494a693e5a223003f52a8
8e3dda8

Hash de arquivo SHA256

windowsdefi.jar (Blue Banana RAT)

b0dcc56ae5e90f6f2f4d05c679508
32550b05505731b298f8230f0e43e
f35c9e

Hash de arquivo SHA256

soso.jar (SambaSpy RAT)

bc039b022d1a60cb519ae0f43f07d
7155273867cc40ce78025959733d7
95f96f

Hash de arquivo SHA256

core.jar (STRRAT RAT)

6ebab76c90cb36c09119a922d385
45326bb7f211d6b4b9792530e6771
67d0477 

Hash de arquivo SHA256

tg.jar (SessionBot Implant)

tcp[:]//wwce.zapto[.]org:443

Domínio

C2 para SambaSpy e Blue Banana RATs

tcp[:]//wce.zapto[.]org:443

Domínio

C2 para SambaSpy e Blue Banana RATs

str-master[.]pw

Domínio

C2 para STRRAT

api.telegram[.]org

Domínio

Exfiltração e comunicação de bot via API do Telegram

https[:]//octupusgreat.s3.us-east-1.amazonaws[.]com

URL

Carga útil inicial hospedada no bucket do Amazon S3

https[:]//seasongretting.s3.eu-west-1.amazonaws[.]com

URL

Cargas úteis hospedadas no bucket do Amazon S3

https[:]//seasonmonster.s3.us-east-1.amazonaws[.]com

URL

Cargas úteis hospedadas no bucket do Amazon S3

https[:]//fullpremier.s3.eu-west-1.amazonaws[.]com

URL

Cargas úteis hospedadas no bucket do Amazon S3

java -jar Tranzac–ie+în+USD-pdf.jar

Processo

Comando de execução de malware

tasklist.exe

Processo

Usado por malware para enumerar ferramentas de análise

wscript.exe email.js

Processo

Executa o processo de roubo de e-mail

swiftzjy1@financeplus[.]me

Endereço de e-mail

E-mail do agente da ameaça

swiftkbp1@farmaciafamiliei[.]md

Endereço de e-mail

E-mail do agente da ameaça

swiftkcs1@farmaciafamiliei[.]md

Endereço de e-mail

E-mail do agente da ameaça

swiftotb1@financeplus[.]me

Endereço de e-mail

E-mail do agente da ameaça

swiftugt1@financeplus[.]me

Endereço de e-mail

E-mail do agente da ameaça

swiftvqz1@financeplus[.]me

Endereço de e-mail

E-mail do agente da ameaça

swiftzjy1@financeplus[.]me

Endereço de e-mail

E-mail do agente da ameaça

Swift Confirmation Copy.jar

Arquivo Java

JAR malicioso usado na execução inicial

Swift Transaction Report.js

Arquivo JavaScript

Carregador de JavaScript ofuscado

Swift Confirmation Copy.pdf

Arquivo PDF

Arquivo PDF de isca mostrado após a infecção inicial

O IBM X-Force Premier Threat Intelligence agora está integrado ao OpenCTI pela Filigran, fornecendo inteligência de ameaças praticável sobre essa atividade de ameaças e muito mais. Acesse insights sobre agentes da ameaça, malware e riscos dos setores. Instale o X-Force OpenCTI Connector para aprimorar a detecção e a resposta, fortalecendo sua cibersegurança com a experiência do IBM X-Force. Obtenha hoje mesmo uma avaliação de 30 dias do X-Force Premier Threat Intelligence!

