L'analyse X-Force a révélé une campagne mondiale de phishing utilisant des fichiers SVG comme vecteur d'attaque initial. Ces fichiers, présentés comme des documents de transactions financières, contiennent du code JavaScript intégré qui crée une archive ZIP dans le système. Dans l'archive, un fichier JavaScript initie une chaîne d'infection par des logiciels malveillants, déployant finalement des RAT tels que Blue Banana, SambaSpy et SessionBot. Ces charges utiles sont conçues pour le vol d'identifiants, le détournement de session, la surveillance et l'exfiltration de données, ce qui représente des risques importants pour les organisations ciblées.

Le logiciel malveillant communique via Amazon S3 et l'API Telegram Bot, se fondant dans le trafic légitime et compliquant les efforts de détection. En utilisant un format de fichier rarement examiné par les filtres anti-hameçonnage, la campagne contourne facilement les défenses traditionnelles.

Cette approche reflète une tendance émergente dans les récents rapports OSINT, blogs techniques et analyses sectorielles, soulignant la manière dont les SVG sont de plus en plus utilisés de manière abusive pour intégrer des chargeurs de logiciels malveillants et rediriger les victimes vers des contenus malveillants.

Il convient de noter que l'utilisation dans cette campagne de leurres faisant référence à SWIFT (Society for Worldwide Interbank Financial Telecommunication, le réseau mondial utilisé par les institutions financières pour sécuriser leurs communications) suggère une cible délibérée des victimes dans le secteur financier.

Cette activité illustre une tendance plus large dans les techniques de phishing : les pirates vont au-delà du vol d'identifiants et distribuent désormais des logiciels malveillants avancés à l'aide de vecteurs créatifs et discrets. Les défenseurs doivent adapter la logique de détection et la formation des employés en conséquence, en reconnaissant que même des types de fichiers inoffensifs comme les SVG peuvent désormais servir de plateformes de diffusion de logiciels malveillants.