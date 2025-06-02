Tags
Sicherheit

Gezielte Nutzung von SVGs: Einblick in eine globale Phishing-Kampagne gegen Finanzinstitute

Eine Hand, die ein Smartphone vor einem blauen Hintergrund hält, mit einem weißen Umschlag an einem Angelhaken, der darüber hängt.

Seit 2025 verfolgt IBM X-Force eine Phishing-Kampagne, die sich gegen Finanzinstitute weltweit richtet. Bei dieser Operation wurden mit JavaScript versehene SVG-Dateien (Scalable Vector Graphics) als Waffe eingesetzt, um mehrstufige Malware-Infektionen auszulösen. Die Verwendung von SVGs für Phishing-Angriffe ist zwar nicht neu, doch aktuelle Berichte deuten auf einen deutlichen Anstieg dieser Taktik hin, was auf eine umfassendere Veränderung der Bedrohungslandschaft hindeutet.

Diese Kampagne geht über das traditionelle Erfassen von Anmeldedaten hinaus – sie setzt fortschrittliche Loader, modulare Remote-Access-Trojaner (RATs) und vertrauenswürdige Infrastruktur wie Amazon S3 und Telegram für Kommando und Kontrolle (C2) ein. Die Aktivität zeigt, wie Angreifer Phishing-Techniken zu umfassenden Erstzugriffsoperationen entwickeln.

Die wichtigsten Erkenntnisse:

  • Als Erstzugang eingesetzte SVGs: Bedrohungsakteure nutzen SVG-Dateien, in die JavaScript eingebettet ist, um herkömmliche Sicherheitsfilter zu umgehen und mehrstufige Malware-Infektionen zu initiieren.
  • Abzielen auf den Finanzsektor: Die Kampagne verwendet SWIFT-inspirierte Lockmittel, um eine vertrauenswürdige Finanzkommunikation zu imitieren, und richtet sich gezielt an Finanzinstitute in verschiedenen Regionen.
  • Java-basierte Malware-Auslieferung: Beim Ausführen hinterlässt das in SVG eingebettete JavaScript ein ZIP-Archiv mit einer JavaScript-Datei, mit der ein Java-basierter Loader heruntergeladen wird. Wenn Java vorhanden ist, wird modulare Malware wie Blue Banana RAT, SambaSpy und SessionBot bereitgestellt.
  • Fortgeschrittene Ausweichtaktiken: Die Malware führt Anti-Analyse-Prüfungen und Umgebungsvalidierungen durch, um sicherzustellen, dass sie nur in realen Nicht-Sandbox-Benutzerumgebungen ausgeführt wird.
  • Missbrauch legitimer Infrastruktur: Nutzdaten und C2-Kommunikation werden über Amazon S3 und Telegram geleitet, was hilft, die Aktivitäten in den normalen Unternehmensverkehr einzufügen und der Erkennung zu entgehen.
  • Aufkommender Tradecraft-Trend: Diese Kampagne spiegelt einen umfassenderen Wandel in Phishing-Techniken wider, bei dem Angreifer zunehmend nicht-traditionelle Dateiformate wie SVG für die Bereitstellung von Malware missbrauchen.
Kampagnenüberblick

Die Analyse von X-Force deckte eine globale Phishing-Kampagne auf, bei der SVG-Dateien als erster Angriffsvektor genutzt wurden. Diese Dateien, getarnt als Finanztransaktionsdokumente, enthalten eingebettetes JavaScript, das ein ZIP-Archiv in das System schreibt. Innerhalb des Archivs initiiert eine JavaScript-Datei eine Malware-Infektionskette – die letztendlich RATs wie Blue Banana, SambaSpy und SessionBot bereitstellt. Diese Nutzdaten sind für den Diebstahl von Anmeldedaten, Hijacking von Sitzungen, Überwachung und Datenexfiltration konzipiert und stellen ein erhebliches Risiko für die betroffenen Unternehmen dar.

Die Malware kommuniziert über Amazon S3 und die Telegram Bot API, mischt sich in legitimen Datenverkehr ein und erschwert die Erkennung. Durch die Verwendung eines Dateiformats, das in Phishing-Filtern selten geprüft wird, umgeht die Kampagne mühelos traditionelle Abwehrmaßnahmen.

Dieser Ansatz spiegelt ein sich abzeichnendes Muster in aktuellen OSINT-Berichten, technischen Blogs und Branchenanalysen wider, das verdeutlicht, wie SVGs zunehmend missbraucht werden, um Malware-Loader einzubetten und Opfer auf bösartige Inhalte umzuleiten.

Insbesondere die Verwendung von SWIFT-bezogenen Ködern in der Kampagne – in Anlehnung an die Society for Worldwide Interbank Financial Telecommunication (SWIFT), das globale Netzwerk, das von Finanzinstituten für sichere Nachrichtenübermittlung genutzt wird – deutet auf eine gezielte Ausrichtung auf Opfer im Finanzsektor hin.

Diese Aktivität verdeutlicht einen allgemeinen Trend im Bereich Phishing: Angreifer gehen über den Diebstahl von Anmeldedaten hinaus und versenden nun mithilfe kreativer, unauffälliger Vektoren hochentwickelte Malware. Verteidiger sollten ihre Erkennungslogik und Mitarbeiterschulungen entsprechend anpassen und sich bewusst sein, dass selbst harmlose Dateitypen wie SVGs mittlerweile als Plattformen für die Verbreitung von Malware dienen können.

Innerhalb der Kampagne

Im Gegensatz zu typischen Phishing-Kampagnen, die auf den Diebstahl von Anmeldedaten durch gefälschte Anmeldeseiten abzielen, ging diese Kampagne vom Köder zum Loader über und machte aus einer scheinbaren Bilddatei den Ausgangspunkt für eine mehrstufige Malware-Infektionskette.

Erstauslieferung: Bildgetarnter Köder

Die erste Zugriffsphase der Kampagne umfasste Phishing-E-Mail, die sich als SWIFT Global Services ausgaben und die Empfänger aufforderten, dringende Zahlungs- oder Überweisungsbestätigungen zu überprüfen. Die beigefügte Datei, die als legitimes Dokument präsentiert wurde, war in Wirklichkeit eine präparierte SVG-Datei, die JavaScript enthielt.

Nach dem Rendern wird das Opfer dazu verleitet, einen Bericht herunterzuladen, der wie eine PDF-Datei aussieht. Wenn Sie jedoch eine der beiden PDF-Dateien auswählen, speichert das JavaScript eine ZIP-Archivdatei im System.

Beispiel einer SWIFT-Phishing-E-Mail, die an betroffene Unternehmen gesendet wurde
Abbildung 1: Beispiel einer SWIFT-Phishing-E-Mail, die an betroffene Unternehmen versandt wurde
Beispiel für eine gerenderte SVG-Datei
Abbildung 2: Beispiel für eine gerenderte SVG-Datei

Von SVG zum Malware-Loader

Sobald das Archiv extrahiert und entpackt ist, finden die Opfer eine Datei namens Swift Transaction Report.js, die verschleiertes JavaScript enthält. Das Skript wurde entwickelt, um die Erkennung mithilfe von Unicode-Escape-Kodierung und String-Verkettungstechniken zu umgehen. Die Ausführung des Skripts löst den Download einer stark verschleierten Java-Archivdatei (JAR) aus, beispielsweise Swift Confirmation Copy.jar und Tranzacție+în+USD-pdf.jar. Diese fungierten als Downloader der ersten Stufe und nutzten Verschleierungsprogramme wie Branchlock und Zelix KlassMaster, um statische und verhaltensbasierte Analysen zu umgehen.

IBM X-Force analysierte einige SVG-Beispiele, die den JAR-Downloader anstelle der ZIP-Datei mit dem JavaScript ablegten und so eine Stufe der Infektionskette umgingen.

Wenn auf dem Zielsystem die Java-Laufzeitumgebung (JRE) installiert war, führte der Loader eine Reihe von Umgebungstests aus, um Sandbox oder Analysetools zu erkennen. Dazu gehörten die Inspektion von Systemprozessen, Entropie- und Virtualisierungsindikatoren. Erst nach der Validierung einer realen Benutzerumgebung versuchte die Malware, Nutzdaten der zweiten Stufe abzurufen.

Dazu griff es auf vom Angreifer kontrollierte Amazon S3-Buckets zu und brachte bösartige Downloads in den ansonsten vertrauenswürdigen Cloud-Service ein. Bei einigen Varianten wurden die verschlüsselten Nutzdaten in gutartig aussehende Köderdateien eingebettet, um die Wahrscheinlichkeit einer Erkennung während der Übertragung weiter zu verringern.

Nutzdaten-Ausführung und Malware-Bereitstellung

Sobald die Umgehungsprüfungen bestanden waren, stellte der Loader ausgehende Verbindungen zu von Angreifern kontrollierten Amazon S3-Buckets her, um verschlüsselte Nutzdaten der zweiten Stufe abzurufen. Der Einsatz cloudbasierter Infrastruktur erhöhte die Komplexität der Erkennung, da der Verkehr zu Diensten wie amazonaws.com oft mit der normalen Unternehmensaktivität einhergeht.

Es wurde beobachtet, dass Nutzdaten von folgenden Quellen heruntergeladen wurden:

  • octupusgreat.s3.us-east-1.amazonaws[.]com
  • seasongretting.s3.eu-west-1.amazonaws[.]com
  • seasonmonster.s3.us-east-1.amazonaws[.]com

Nach der Entschlüsselung und dem Entpacken schrieb die Malware Dateien an wichtige Persistenzstandorte, darunter:

  • %AppData%\Microsoft\Windows\Start Menu\Programs\Startup\ — stellt die Ausführung bei der Benutzeranmeldung sicher
  • %AppData%\Microsoft\Vault\cred\ – vermutlich zur Bereitstellung von Lockdateien und zur Speicherung exfiltrierter Daten verwendet

Zusätzlich zur dateibasierten Persistenz registrierten einige Varianten geplante Aufgaben oder änderten Registrierungsschlüssel, um den Zugriff über Systemneustarts hinweg aufrechtzuerhalten. Einige Beispiele verzögerten die Ausführung oder beschränkten die Funktionalität je nach Benutzerinteraktion, was die Erkennung durch automatisierte Sandbox-Systeme zusätzlich erschwerte.

Modulare RAT-Funktionen

Die in dieser Kampagne eingesetzte Malware weist eine modulare Architektur auf, die es den Betreibern ermöglicht, die Funktionalität an die Umgebung und die Ziele des Opfers anzupassen. IBM X-Force beobachtete die Verwendung mehrerer Payloads mit sich überschneidenden Überwachungs-, Datendiebstahl- und Persistenzfunktionen.

  • Blue Banana RAT
    Bereitgestellt über eine entstellte JAR-Datei (windowsdefi.jar), Blue Banana ermöglicht Remote-Shell-Zugriff, Dateiausführung, das Erfassen von Zugangsdaten (z. B. FileZilla) und sogar DDoS-Teilnahme. Es wurde mithilfe der Obfuskatoren Branchlock, Zelix KlassMaster und Allatori geschützt, um die Analyse zu erschweren.
  • SambaSpy RAT
    Kommunikation über No-IP-DDNS-Domains (z. B. wwce.zapto[.]org), SambaSpy unterstützt Webcam-Zugriff, Keylogging, Zwischenablageüberwachung und Dateimanipulation. Es verwendet AES-verschlüsselte Kanäle für die sichere Datenexfiltration und unterstützt die Erweiterung durch Plugins.
  • SessionBot-Implantat
    Dieses leichtgewichtige Implantat (tg.jar) führt eine Systemerkundung durch und sammelt Details wie den RDP-Verlauf, Benutzer- und Netzwerksitzungen sowie die Geolokalisierung öffentlicher IP-Adressen. Es nutzt die Telegram Bot API für Exfiltration und Command-and-Control und lädt häufig zusätzliche Module wie 1.jar, 2.jar oder recovery.jar herunter.

Zusätzlich setzte die Kampagne einen Outlook-orientierten E-Mail-Diebstahl (email.js) ein, ausgeführt über wscript.exe. Es scannte Outlook-Profile, extrahierte den Inhalt des Posteingangs und bereitete die Daten für die Exfiltration über Telegram-basierte HTTP-POST-Anfragen vor.

Um ihre Aktivitäten zu verbergen, hinterließ die Malware harmlos aussehende Köderdateien (z. B. Tranzacție+în+USD-pdf.txt, Swift Confirmation Copy.pdf), das sich bei der Ausführung öffnete und die Illusion der Legitimität verstärkte, während im Hintergrund bösartige Prozesse ausgeführt wurden.

Kommando- und Kontrollinfrastruktur

Zusätzlich zur bereits beschriebenen Amazon S3-Infrastruktur nutzte die Kampagne die Bot-API von Telegram für die Kommando- und Kontrollfunktion (C2) nach der Kompromittierung. Dieser Ansatz ermöglichte es Bedrohungsakteuren, mit infizierten Hosts zu interagieren, sensible Daten zu exfiltrieren und dynamisch Anweisungen zu erteilen, alles über eine verschlüsselte Messaging-Infrastruktur, die in Unternehmensumgebungen üblicherweise erlaubt ist.

Die C2-Kommunikation wurde über folgende Kanäle geleitet:

  • api.telegram[.]org/bot7369538001...
  • api.telegram[.]org/bot7819421465...

Diese Kanäle wurden zur Systemaufklärung, zum Extrahieren von Outlook-Posteingangsdaten und zum Erfassen von Dateien durch Malware-Module wie SessionBot und den email.js Outlook-Stealer verwendet. Die Nutzung von Telegram bot Anonymität, Verschlüsselung und Bedienkomfort, erschwerte aber gleichzeitig die Erkennung durch herkömmliche Netzwerküberwachung.

Dieses Dual-Channel-Infrastrukturmodell – eine Kombination aus cloudbasiertem Payload-Hosting und verschlüsselter Nachrichtenübermittlung – spiegelt einen wachsenden Trend unter finanziell motivierten Bedrohungsakteuren wider, bösartigen Datenverkehr in vertrauenswürdige Dienste einzubetten, um die Verweilzeit zu verlängern und die Erfolgswahrscheinlichkeit zu erhöhen.

Änderung des Themas

X-Force beobachtete seit Ende April einen Wechsel von Ködern mit SWIFT-Bezug hin zu Ködern mit Bezug zu Ermittlungen wegen Finanzkriminalität.

Beispiel einer SVG-Datei mit einem Köder zum Thema Finanzkriminalitätsermittlung
Abbildung 3: Beispiel für eine SVG-Datei mit einem Köder zum Thema Finanzkriminalität

Die SVG-Datei, die dieses Design verwendet, wurde als JAR-Datei (Fallnummer 86-2025.jar) auf der Festplatte gespeichert. Diese JAR-Datei ist derselbe Java-basierte Downloader, der in der SWIFT-Kampagne verwendet wird. Eine weitere Änderung betraf eine Java-basierte RAT namens „STRRAT“, die zusammen mit den RATs SambaSpy und Blue Banana heruntergeladen wurde. STRRAT ist bekannt für seine Fähigkeiten zum Informationsdiebstahl und seine Flexibilität bei der Bereitstellung mehrerer schädlicher Funktionen. Obwohl STRRAT relativ schonend ist, kann es das Verhalten von Ransomware nachahmen und eine vollständige Fernsteuerung infizierter Systeme ermöglichen.

Warum das wichtig ist

Diese Kampagne spiegelt eine umfassendere Entwicklung im Bereich Phishing wider – weg vom Sammeln von Anmeldedaten hin zu modularer Malware-Verbreitung, langfristigem Zugriff und Datenexfiltration. Durch den Missbrauch von SVG-Dateien, einem Format, das von Sicherheitsfiltern oft übersehen wird, zeigen die Angreifer ihre Bereitschaft, Lücken in der herkömmlichen Erkennungslogik auszunutzen.

Die Verwendung von SWIFT-Ködern unterstreicht einen bewussten Fokus auf Finanzinstitute und nutzt Vertrautheit und Vertrauen, um die Klickraten zu erhöhen. In Kombination mit cloudbasierter Infrastruktur und verschlüsselten Messaging-Kanälen wie Telegram verbinden die Angreifer schädliche Aktivitäten effektiv mit normalem Datenverkehr und verringern so die Wahrscheinlichkeit einer frühen Erkennung.

Für Verteidiger unterstreicht dies die Notwendigkeit, Annahmen über „sichere“ Dateitypen und harmlose Infrastruktur neu zu bewerten. Phishing ist nicht mehr nur ein E-Mail-Problem – es ist ein Einstiegspunkt für ausgeklügelte, mehrstufige Intrusion-Angriffe. Unternehmen müssen wachsam bleiben, ihre Sichtbarkeit auf nicht-traditionelle Vektoren ausweiten und ihre Erkennungslogik kontinuierlich anpassen, um mit dem Tempo der Innovationen der Angreifer Schritt zu halten.

Empfehlungen:

Unternehmen können ihr Risiko durch solche Kampagnen verringern, indem sie Endpunkt-Transparenz, sichere Konfiguration und Benutzerschulungen kombinieren.

  • Aktualisieren Sie Ihre Antiviren- und EDR-Tools regelmäßig: Stellen Sie sicher, dass die Erkennungsmodule aktuell sind, um bekannte Nutzdaten und Verhaltensweisen im Zusammenhang mit Java-basierter Malware zu identifizieren.
  • Erzwingen Sie Multi-Faktor-Authentifizierung (MFA): Wenden Sie MFA auf alle Benutzerkonten an, insbesondere auf solche, die für E-Mail, Remote-Zugriff und Finanzsysteme verwendet werden.
  • Kümmern Sie sich direkt um Software-Patches: Führen Sie regelmäßige Patchzyklen für Betriebssysteme, Java-Laufzeiten, Browser und E-Mail-Clients durch, um die Ausbeutungsmöglichkeiten zu reduzieren.
  • Makros standardmäßig deaktivieren: Verhindern Sie die Ausführung von Makros aus E-Mail-Anhängen, sofern diese nicht ausdrücklich genehmigt und signiert wurden.
  • Prinzip der minimalen Rechtevergabe: Beschränken Sie die Berechtigungen von Benutzerkonten auf das Notwendigste, um die Auswirkungen einer erfolgreichen Kompromittierung zu minimieren.
  • Überwachen Sie Cloud-Missbrauch: Überprüfen Sie den ausgehenden Netzwerkverkehr auf verdächtige Verbindungen zu Cloud-Speicherplattformen wie Amazon S3, insbesondere zu unbekannten oder falsch konfigurierten Buckets.
  • Schulen der Mitarbeiter in Bezug auf Phishing-Taktiken: Klären Sie Ihre Mitarbeiter – insbesondere diejenigen in Finanz- und Verwaltungsfunktionen – darüber auf, wie sie verdächtige Köder, Dateitypen und Übermittlungsmethoden erkennen können.

Indikatoren für Kompromittierungen

Indikator

Art des Indikators

Kontext

141e8bf99ff6b58816951ed8bfd82
1079d8082be6c02cb36f0fd1ffe4e
06e664

SHA256-Datei-Hash

Tranzacție+în+USD-pdf.jar (Java-Downloader)

ae345b40d165255284bf4c6ab00
a871fcb035b552ac0b20b3cfb19e4
644e49b7

SHA256-Datei-Hash

Swift Confirmation Copy.jar (Java-Downloader)

a4ed118f15c5c943d5964fe381f1bd
4f9ce02d4c0f0212d3f2e95a0e37e
2d1a2

SHA256-Datei-Hash

Case No.86-2025.jar (Java Downloader)

6a9f195f6fa9b298b94235b9b7dfa
415f67ce29d0f5135d3e6705ae3c8
4da88b

SHA256-Datei-Hash

email.js (Outlook-E-Mail-Stealer)

8bcba87df6d459a573441fb848b9
0451d65bce3a0f2ac08844c09892
2672b734

SHA256-Datei-Hash

Swift Confirmation Copy.pdf (Decoy-Datei)

701435e822a78b82d53281af3ffb2
0b3732462ec99c6f36afdfc6f8eed
4123f9

SHA256-Datei-Hash

Swift Transaction Report.js (JavaScript-Downloader)

f92240185abf62317800180aba0fb
da19d8e494a693e5a223003f52a8
8e3dda8

SHA256-Datei-Hash

windowsdefi.jar (Blue Banana RAT)

b0dcc56ae5e90f6f2f4d05c679508
32550b05505731b298f8230f0e43e
f35c9e

SHA256-Datei-Hash

soso.jar (SambaSpy RAT)

bc039b022d1a60cb519ae0f43f07d
7155273867cc40ce78025959733d7
95f96f

SHA256-Datei-Hash

core.jar (STRRAT RAT)

6ebab76c90cb36c09119a922d385
45326bb7f211d6b4b9792530e6771
67d0477 

SHA256-Datei-Hash

tg.jar (SessionBot-Implantat)

tcp[:]//wwce.zapto[.]org:443

Domäne

C2 für SambaSpy und Blue Banana RATs

tcp[:]//wce.zapto[.]org:443

Domäne

C2 für SambaSpy und Blue Banana RATs

str-master[.]pw

Domäne

C2 for STRRAT

api.telegram[.]org

Domäne

Exfiltration und Bot-Kommunikation über die Telegram-API

https[:]//octupusgreat.s3.us-east-1.amazonaws[.]com

URL

Die anfänglichen Nutzdaten werden in einem Amazon S3-Bucket gehostet.

https[:]//seasongretting.s3.eu-west-1.amazonaws[.]com

URL

Auf Amazon S3-Bucket gehostete Nutzdaten

https[:]//seasonmonster.s3.us-east-1.amazonaws[.]com

URL

Auf Amazon S3-Bucket gehostete Nutzdaten

https[:]//fullpremier.s3.eu-west-1.amazonaws[.]com

URL

Auf Amazon S3-Bucket gehostete Nutzdaten

java -jar Tranzacție+în+USD-pdf.jar

Prozess

Befehl zur Ausführung von Malware

tasklist.exe

Prozess

Wird von Malware zur Aufzählung von Analysetools verwendet

wscript.exe email.js

Prozess

Führt den E-Mail-Diebstahl aus

swiftzjy1@financeplus[.]me

E-Mail-Adresse

E-Mail des Bedrohungsakteurs

swiftkbp1@farmaciafamiliei[.]md

E-Mail-Adresse

E-Mail des Bedrohungsakteurs

swiftkcs1@farmaciafamiliei[.]md

E-Mail-Adresse

E-Mail des Bedrohungsakteurs

swiftotb1@financeplus[.]me

E-Mail-Adresse

E-Mail des Bedrohungsakteurs

swiftugt1@financeplus[.]me

E-Mail-Adresse

E-Mail des Bedrohungsakteurs

swiftvqz1@financeplus[.]me

E-Mail-Adresse

E-Mail des Bedrohungsakteurs

swiftzjy1@financeplus[.]me

E-Mail-Adresse

E-Mail des Bedrohungsakteurs

Swift Confirmation Copy.jar

Java-Archivdatei

Bösartige JAR-Datei, die bei der ersten Ausführung verwendet wurde

Swift Transaction Report.js

JavaScript-Datei

Verschleierter JavaScript-Loader

Swift Confirmation Copy.pdf

PDF-Datei

Nach der Erstinfektion angezeigte PDF-Datei als Köder

IBM X-Force Premier Threat-Intelligence ist nun mit OpenCTI von Filigran integriert und liefert umsetzbar Threat-Intelligence zu dieser Bedrohungsaktivität und mehr. Erhalten Sie Erkenntnisse zu Bedrohungsakteuren, Malware und Branchenrisiken. Installieren Sie den X-Force OpenCTI-Connector , um die Erkennung und Reaktion zu verbessern und Ihre Cybersicherheit mit der Expertise von IBM X-Force zu stärken. Sichern Sie sich noch heute eine 30-tägige Testversion von X-Force Premier Threat Intelligence!

