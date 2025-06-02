Seit 2025 verfolgt IBM X-Force eine Phishing-Kampagne, die sich gegen Finanzinstitute weltweit richtet. Bei dieser Operation wurden mit JavaScript versehene SVG-Dateien (Scalable Vector Graphics) als Waffe eingesetzt, um mehrstufige Malware-Infektionen auszulösen. Die Verwendung von SVGs für Phishing-Angriffe ist zwar nicht neu, doch aktuelle Berichte deuten auf einen deutlichen Anstieg dieser Taktik hin, was auf eine umfassendere Veränderung der Bedrohungslandschaft hindeutet.
Diese Kampagne geht über das traditionelle Erfassen von Anmeldedaten hinaus – sie setzt fortschrittliche Loader, modulare Remote-Access-Trojaner (RATs) und vertrauenswürdige Infrastruktur wie Amazon S3 und Telegram für Kommando und Kontrolle (C2) ein. Die Aktivität zeigt, wie Angreifer Phishing-Techniken zu umfassenden Erstzugriffsoperationen entwickeln.
Die Analyse von X-Force deckte eine globale Phishing-Kampagne auf, bei der SVG-Dateien als erster Angriffsvektor genutzt wurden. Diese Dateien, getarnt als Finanztransaktionsdokumente, enthalten eingebettetes JavaScript, das ein ZIP-Archiv in das System schreibt. Innerhalb des Archivs initiiert eine JavaScript-Datei eine Malware-Infektionskette – die letztendlich RATs wie Blue Banana, SambaSpy und SessionBot bereitstellt. Diese Nutzdaten sind für den Diebstahl von Anmeldedaten, Hijacking von Sitzungen, Überwachung und Datenexfiltration konzipiert und stellen ein erhebliches Risiko für die betroffenen Unternehmen dar.
Die Malware kommuniziert über Amazon S3 und die Telegram Bot API, mischt sich in legitimen Datenverkehr ein und erschwert die Erkennung. Durch die Verwendung eines Dateiformats, das in Phishing-Filtern selten geprüft wird, umgeht die Kampagne mühelos traditionelle Abwehrmaßnahmen.
Dieser Ansatz spiegelt ein sich abzeichnendes Muster in aktuellen OSINT-Berichten, technischen Blogs und Branchenanalysen wider, das verdeutlicht, wie SVGs zunehmend missbraucht werden, um Malware-Loader einzubetten und Opfer auf bösartige Inhalte umzuleiten.
Insbesondere die Verwendung von SWIFT-bezogenen Ködern in der Kampagne – in Anlehnung an die Society for Worldwide Interbank Financial Telecommunication (SWIFT), das globale Netzwerk, das von Finanzinstituten für sichere Nachrichtenübermittlung genutzt wird – deutet auf eine gezielte Ausrichtung auf Opfer im Finanzsektor hin.
Diese Aktivität verdeutlicht einen allgemeinen Trend im Bereich Phishing: Angreifer gehen über den Diebstahl von Anmeldedaten hinaus und versenden nun mithilfe kreativer, unauffälliger Vektoren hochentwickelte Malware. Verteidiger sollten ihre Erkennungslogik und Mitarbeiterschulungen entsprechend anpassen und sich bewusst sein, dass selbst harmlose Dateitypen wie SVGs mittlerweile als Plattformen für die Verbreitung von Malware dienen können.
Im Gegensatz zu typischen Phishing-Kampagnen, die auf den Diebstahl von Anmeldedaten durch gefälschte Anmeldeseiten abzielen, ging diese Kampagne vom Köder zum Loader über und machte aus einer scheinbaren Bilddatei den Ausgangspunkt für eine mehrstufige Malware-Infektionskette.
Die erste Zugriffsphase der Kampagne umfasste Phishing-E-Mail, die sich als SWIFT Global Services ausgaben und die Empfänger aufforderten, dringende Zahlungs- oder Überweisungsbestätigungen zu überprüfen. Die beigefügte Datei, die als legitimes Dokument präsentiert wurde, war in Wirklichkeit eine präparierte SVG-Datei, die JavaScript enthielt.
Nach dem Rendern wird das Opfer dazu verleitet, einen Bericht herunterzuladen, der wie eine PDF-Datei aussieht. Wenn Sie jedoch eine der beiden PDF-Dateien auswählen, speichert das JavaScript eine ZIP-Archivdatei im System.
Sobald das Archiv extrahiert und entpackt ist, finden die Opfer eine Datei namens Swift Transaction Report.js, die verschleiertes JavaScript enthält. Das Skript wurde entwickelt, um die Erkennung mithilfe von Unicode-Escape-Kodierung und String-Verkettungstechniken zu umgehen. Die Ausführung des Skripts löst den Download einer stark verschleierten Java-Archivdatei (JAR) aus, beispielsweise Swift Confirmation Copy.jar und Tranzacție+în+USD-pdf.jar. Diese fungierten als Downloader der ersten Stufe und nutzten Verschleierungsprogramme wie Branchlock und Zelix KlassMaster, um statische und verhaltensbasierte Analysen zu umgehen.
IBM X-Force analysierte einige SVG-Beispiele, die den JAR-Downloader anstelle der ZIP-Datei mit dem JavaScript ablegten und so eine Stufe der Infektionskette umgingen.
Wenn auf dem Zielsystem die Java-Laufzeitumgebung (JRE) installiert war, führte der Loader eine Reihe von Umgebungstests aus, um Sandbox oder Analysetools zu erkennen. Dazu gehörten die Inspektion von Systemprozessen, Entropie- und Virtualisierungsindikatoren. Erst nach der Validierung einer realen Benutzerumgebung versuchte die Malware, Nutzdaten der zweiten Stufe abzurufen.
Dazu griff es auf vom Angreifer kontrollierte Amazon S3-Buckets zu und brachte bösartige Downloads in den ansonsten vertrauenswürdigen Cloud-Service ein. Bei einigen Varianten wurden die verschlüsselten Nutzdaten in gutartig aussehende Köderdateien eingebettet, um die Wahrscheinlichkeit einer Erkennung während der Übertragung weiter zu verringern.
Sobald die Umgehungsprüfungen bestanden waren, stellte der Loader ausgehende Verbindungen zu von Angreifern kontrollierten Amazon S3-Buckets her, um verschlüsselte Nutzdaten der zweiten Stufe abzurufen. Der Einsatz cloudbasierter Infrastruktur erhöhte die Komplexität der Erkennung, da der Verkehr zu Diensten wie amazonaws.com oft mit der normalen Unternehmensaktivität einhergeht.
Es wurde beobachtet, dass Nutzdaten von folgenden Quellen heruntergeladen wurden:
Nach der Entschlüsselung und dem Entpacken schrieb die Malware Dateien an wichtige Persistenzstandorte, darunter:
Zusätzlich zur dateibasierten Persistenz registrierten einige Varianten geplante Aufgaben oder änderten Registrierungsschlüssel, um den Zugriff über Systemneustarts hinweg aufrechtzuerhalten. Einige Beispiele verzögerten die Ausführung oder beschränkten die Funktionalität je nach Benutzerinteraktion, was die Erkennung durch automatisierte Sandbox-Systeme zusätzlich erschwerte.
Die in dieser Kampagne eingesetzte Malware weist eine modulare Architektur auf, die es den Betreibern ermöglicht, die Funktionalität an die Umgebung und die Ziele des Opfers anzupassen. IBM X-Force beobachtete die Verwendung mehrerer Payloads mit sich überschneidenden Überwachungs-, Datendiebstahl- und Persistenzfunktionen.
Zusätzlich setzte die Kampagne einen Outlook-orientierten E-Mail-Diebstahl (email.js) ein, ausgeführt über wscript.exe. Es scannte Outlook-Profile, extrahierte den Inhalt des Posteingangs und bereitete die Daten für die Exfiltration über Telegram-basierte HTTP-POST-Anfragen vor.
Um ihre Aktivitäten zu verbergen, hinterließ die Malware harmlos aussehende Köderdateien (z. B. Tranzacție+în+USD-pdf.txt, Swift Confirmation Copy.pdf), das sich bei der Ausführung öffnete und die Illusion der Legitimität verstärkte, während im Hintergrund bösartige Prozesse ausgeführt wurden.
Zusätzlich zur bereits beschriebenen Amazon S3-Infrastruktur nutzte die Kampagne die Bot-API von Telegram für die Kommando- und Kontrollfunktion (C2) nach der Kompromittierung. Dieser Ansatz ermöglichte es Bedrohungsakteuren, mit infizierten Hosts zu interagieren, sensible Daten zu exfiltrieren und dynamisch Anweisungen zu erteilen, alles über eine verschlüsselte Messaging-Infrastruktur, die in Unternehmensumgebungen üblicherweise erlaubt ist.
Die C2-Kommunikation wurde über folgende Kanäle geleitet:
Diese Kanäle wurden zur Systemaufklärung, zum Extrahieren von Outlook-Posteingangsdaten und zum Erfassen von Dateien durch Malware-Module wie SessionBot und den email.js Outlook-Stealer verwendet. Die Nutzung von Telegram bot Anonymität, Verschlüsselung und Bedienkomfort, erschwerte aber gleichzeitig die Erkennung durch herkömmliche Netzwerküberwachung.
Dieses Dual-Channel-Infrastrukturmodell – eine Kombination aus cloudbasiertem Payload-Hosting und verschlüsselter Nachrichtenübermittlung – spiegelt einen wachsenden Trend unter finanziell motivierten Bedrohungsakteuren wider, bösartigen Datenverkehr in vertrauenswürdige Dienste einzubetten, um die Verweilzeit zu verlängern und die Erfolgswahrscheinlichkeit zu erhöhen.
X-Force beobachtete seit Ende April einen Wechsel von Ködern mit SWIFT-Bezug hin zu Ködern mit Bezug zu Ermittlungen wegen Finanzkriminalität.
Die SVG-Datei, die dieses Design verwendet, wurde als JAR-Datei (Fallnummer 86-2025.jar) auf der Festplatte gespeichert. Diese JAR-Datei ist derselbe Java-basierte Downloader, der in der SWIFT-Kampagne verwendet wird. Eine weitere Änderung betraf eine Java-basierte RAT namens „STRRAT“, die zusammen mit den RATs SambaSpy und Blue Banana heruntergeladen wurde. STRRAT ist bekannt für seine Fähigkeiten zum Informationsdiebstahl und seine Flexibilität bei der Bereitstellung mehrerer schädlicher Funktionen. Obwohl STRRAT relativ schonend ist, kann es das Verhalten von Ransomware nachahmen und eine vollständige Fernsteuerung infizierter Systeme ermöglichen.
Diese Kampagne spiegelt eine umfassendere Entwicklung im Bereich Phishing wider – weg vom Sammeln von Anmeldedaten hin zu modularer Malware-Verbreitung, langfristigem Zugriff und Datenexfiltration. Durch den Missbrauch von SVG-Dateien, einem Format, das von Sicherheitsfiltern oft übersehen wird, zeigen die Angreifer ihre Bereitschaft, Lücken in der herkömmlichen Erkennungslogik auszunutzen.
Die Verwendung von SWIFT-Ködern unterstreicht einen bewussten Fokus auf Finanzinstitute und nutzt Vertrautheit und Vertrauen, um die Klickraten zu erhöhen. In Kombination mit cloudbasierter Infrastruktur und verschlüsselten Messaging-Kanälen wie Telegram verbinden die Angreifer schädliche Aktivitäten effektiv mit normalem Datenverkehr und verringern so die Wahrscheinlichkeit einer frühen Erkennung.
Für Verteidiger unterstreicht dies die Notwendigkeit, Annahmen über „sichere“ Dateitypen und harmlose Infrastruktur neu zu bewerten. Phishing ist nicht mehr nur ein E-Mail-Problem – es ist ein Einstiegspunkt für ausgeklügelte, mehrstufige Intrusion-Angriffe. Unternehmen müssen wachsam bleiben, ihre Sichtbarkeit auf nicht-traditionelle Vektoren ausweiten und ihre Erkennungslogik kontinuierlich anpassen, um mit dem Tempo der Innovationen der Angreifer Schritt zu halten.
Unternehmen können ihr Risiko durch solche Kampagnen verringern, indem sie Endpunkt-Transparenz, sichere Konfiguration und Benutzerschulungen kombinieren.
Indikator
Art des Indikators
Kontext
141e8bf99ff6b58816951ed8bfd82
SHA256-Datei-Hash
Tranzacție+în+USD-pdf.jar (Java-Downloader)
ae345b40d165255284bf4c6ab00
SHA256-Datei-Hash
Swift Confirmation Copy.jar (Java-Downloader)
a4ed118f15c5c943d5964fe381f1bd
SHA256-Datei-Hash
Case No.86-2025.jar (Java Downloader)
6a9f195f6fa9b298b94235b9b7dfa
SHA256-Datei-Hash
email.js (Outlook-E-Mail-Stealer)
8bcba87df6d459a573441fb848b9
SHA256-Datei-Hash
Swift Confirmation Copy.pdf (Decoy-Datei)
701435e822a78b82d53281af3ffb2
SHA256-Datei-Hash
Swift Transaction Report.js (JavaScript-Downloader)
f92240185abf62317800180aba0fb
SHA256-Datei-Hash
windowsdefi.jar (Blue Banana RAT)
b0dcc56ae5e90f6f2f4d05c679508
SHA256-Datei-Hash
soso.jar (SambaSpy RAT)
bc039b022d1a60cb519ae0f43f07d
SHA256-Datei-Hash
core.jar (STRRAT RAT)
6ebab76c90cb36c09119a922d385
SHA256-Datei-Hash
tg.jar (SessionBot-Implantat)
tcp[:]//wwce.zapto[.]org:443
Domäne
C2 für SambaSpy und Blue Banana RATs
tcp[:]//wce.zapto[.]org:443
Domäne
C2 für SambaSpy und Blue Banana RATs
str-master[.]pw
Domäne
C2 for STRRAT
api.telegram[.]org
Domäne
Exfiltration und Bot-Kommunikation über die Telegram-API
https[:]//octupusgreat.s3.us-east-1.amazonaws[.]com
URL
Die anfänglichen Nutzdaten werden in einem Amazon S3-Bucket gehostet.
https[:]//seasongretting.s3.eu-west-1.amazonaws[.]com
URL
Auf Amazon S3-Bucket gehostete Nutzdaten
https[:]//seasonmonster.s3.us-east-1.amazonaws[.]com
URL
Auf Amazon S3-Bucket gehostete Nutzdaten
https[:]//fullpremier.s3.eu-west-1.amazonaws[.]com
URL
Auf Amazon S3-Bucket gehostete Nutzdaten
java -jar Tranzacție+în+USD-pdf.jar
Prozess
Befehl zur Ausführung von Malware
tasklist.exe
Prozess
Wird von Malware zur Aufzählung von Analysetools verwendet
wscript.exe email.js
Prozess
Führt den E-Mail-Diebstahl aus
swiftzjy1@financeplus[.]me
E-Mail-Adresse
E-Mail des Bedrohungsakteurs
swiftkbp1@farmaciafamiliei[.]md
E-Mail-Adresse
E-Mail des Bedrohungsakteurs
swiftkcs1@farmaciafamiliei[.]md
E-Mail-Adresse
E-Mail des Bedrohungsakteurs
swiftotb1@financeplus[.]me
E-Mail-Adresse
E-Mail des Bedrohungsakteurs
swiftugt1@financeplus[.]me
E-Mail-Adresse
E-Mail des Bedrohungsakteurs
swiftvqz1@financeplus[.]me
E-Mail-Adresse
E-Mail des Bedrohungsakteurs
swiftzjy1@financeplus[.]me
E-Mail-Adresse
E-Mail des Bedrohungsakteurs
Swift Confirmation Copy.jar
Java-Archivdatei
Bösartige JAR-Datei, die bei der ersten Ausführung verwendet wurde
Swift Transaction Report.js
JavaScript-Datei
Verschleierter JavaScript-Loader
Swift Confirmation Copy.pdf
PDF-Datei
Nach der Erstinfektion angezeigte PDF-Datei als Köder
