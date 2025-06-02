Balises
SVG utilisés à des fins malveillantes : au cœur d'une campagne mondiale de hameçonnage visant les institutions financières

Une main tenant un smartphone sur un fond bleu avec une enveloppe blanche suspendue à un hameçon

Tout au long de l'année 2025, IBM X-Force a suivi une campagne d'hameçonnage visant les institutions financières du monde entier. Cette opération tirait parti de fichiers évolutif Vector Graphics (SVG) malveillants intégrant du code JavaScript afin de déclencher des infections de logiciel malveillant à plusieurs étapes. Bien que l'utilisation de SVG pour le hameçonnage ne soit pas une nouveauté, des informations récentes indiquent une nette augmentation de cette tactique, signe d'une évolution générale du paysage des menaces.

Cette campagne va au-delà de la collecte traditionnelle d'identifiants : elle utilise des chargeurs avancés, des chevaux de Troie d'accès à distance (RAT) modulaires et des infrastructures fiables telles qu'Amazon S3 et Telegram pour le commandement et le contrôle (C2). L'activité montre comment les pirates font évoluer les techniques de hameçonnage en opérations d'accès initial à grande échelle.

Points essentiels à retenir :

  • Les fichiers SVG utilisés comme arme pour obtenir un accès initial : les acteurs de la menace utilisent des fichiers SVG intégrant du code JavaScript pour contourner les filtres de sécurité traditionnels et lancer des infections par des logiciels malveillants en plusieurs étapes.
  • Ciblage du secteur financier : La campagne utilise Des leurres utilisant le protocole SWIFT pour imiter des communications financières fiables, ciblant spécifiquement les institutions financières dans plusieurs régions.
  • Diffusion de logiciels malveillants basé sur Java : lorsqu’il est exécuté, le JavaScript intégré au SVG dépose une archive ZIP contenant un fichier JavaScript utilisé pour télécharger un chargeur basé sur Java. Si Java est présent, il déploie des logiciels malveillants modulaires, notamment Blue Banana RAT, SambaSpy et SessionBot.
  • Tactiques d'évasion avancées : le logiciel malveillant effectue des contrôles anti-analyse et des validations environnementales afin de garantir son exécution uniquement dans des environnements réels, hors sandbox.
  • Abus de l'infrastructure légitime : les charges utiles et les communications C2 sont acheminées via Amazon S3 et Telegram, ce qui permet à l'activité de se fondre dans le trafic normal de l'entreprise et d'échapper à la détection.
  • Tendance émergente en matière de techniques de piratage : cette campagne reflète une évolution plus large des techniques de phishing, les pirates utilisant de plus en plus des formats de fichiers non traditionnels tels que SVG pour diffuser des logiciels malveillants.
Présentation de la campagne

L'analyse X-Force a révélé une campagne mondiale de phishing utilisant des fichiers SVG comme vecteur d'attaque initial. Ces fichiers, présentés comme des documents de transactions financières, contiennent du code JavaScript intégré qui crée une archive ZIP dans le système. Dans l'archive, un fichier JavaScript initie une chaîne d'infection par des logiciels malveillants, déployant finalement des RAT tels que Blue Banana, SambaSpy et SessionBot. Ces charges utiles sont conçues pour le vol d'identifiants, le détournement de session, la surveillance et l'exfiltration de données, ce qui représente des risques importants pour les organisations ciblées.

Le logiciel malveillant communique via Amazon S3 et l'API Telegram Bot, se fondant dans le trafic légitime et compliquant les efforts de détection. En utilisant un format de fichier rarement examiné par les filtres anti-hameçonnage, la campagne contourne facilement les défenses traditionnelles.

Cette approche reflète une tendance émergente dans les récents rapports OSINT, blogs techniques et analyses sectorielles, soulignant la manière dont les SVG sont de plus en plus utilisés de manière abusive pour intégrer des chargeurs de logiciels malveillants et rediriger les victimes vers des contenus malveillants.

Il convient de noter que l'utilisation dans cette campagne de leurres faisant référence à SWIFT (Society for Worldwide Interbank Financial Telecommunication, le réseau mondial utilisé par les institutions financières pour sécuriser leurs communications) suggère une cible délibérée des victimes dans le secteur financier.

Cette activité illustre une tendance plus large dans les techniques de phishing : les pirates vont au-delà du vol d'identifiants et distribuent désormais des logiciels malveillants avancés à l'aide de vecteurs créatifs et discrets. Les défenseurs doivent adapter la logique de détection et la formation des employés en conséquence, en reconnaissant que même des types de fichiers inoffensifs comme les SVG peuvent désormais servir de plateformes de diffusion de logiciels malveillants.

À l’intérieur de la campagne

Contrairement aux campagnes de hameçonnage classiques qui visent à voler des identifiants via de fausses pages de connexion, cette campagne est passée d'un leurre à un chargeur, transformant ce qui semblait être un fichier image en point de départ d'une chaîne d'infection par un logiciel malveillant en plusieurs étapes.

Distribution initiale : leurre déguisé en image

La première phase d'accès à la campagne a consisté en l'envoi d'e-mails d'hameçonnage usurpant l'identité de SWIFT Global Services et invitant les destinataires à examiner des confirmations de paiement ou de transfert urgentes. Le fichier joint, présenté comme un document légitime, était un SVG contenant du JavaScript.

Une fois le rapport rendu, la victime est incitée à télécharger un rapport qui semble être un fichier PDF ; cependant, en sélectionnant l'un ou l'autre des PDF, le JavaScript enregistre un fichier d'archive ZIP sur le système.

Exemple d'e-mail de phishing SWIFT envoyé à des entreprises victimes
Figure 1 : exemple d'e-mail de hameçonnage SWIFT envoyé à des entreprises victimes
Exemple de fichier SVG rendu
Figure 2 : exemple de fichier SVG rendu

Du SVG au chargeur de logiciels malveillants

Une fois l'archive extraite et décompressée, les victimes découvrent un fichier nommé Swift Transaction Report.js qui contient du code JavaScript obscurci. Le script a été conçu pour échapper à la détection à l'aide de techniques d'échappement Unicode et de concaténation de chaînes. L'exécution du script déclenche le téléchargement d'un fichier Java Archive (JAR) fortement obscurci, tel que Swift Confirmation Copy.jar et Tranzacție+în+USD-pdf.jar. Ces derniers ont agi comme des téléchargeurs de premier niveau, exploitant des obscurcisseurs tels que Branchlock et Zelix KlassMaster pour échapper à l'analyse statique et comportementale.

IBM X-Force a analysé quelques échantillons SVG qui ont supprimé le téléchargeur JAR au lieu du fichier ZIP contenant le code JavaScript, contournant ainsi une étape de la chaîne d'infection.

Si le système cible disposait du Java Runtime Environment (JRE), le chargeur s'exécutait et lançait une série de vérifications environnementales afin de détecter la présence d'outils de sandboxing ou d'analyse. Il s'agissait notamment d'inspecter les processus du système, l'entropie et les indicateurs de virtualisation. Ce n'est qu'après avoir validé un environnement d'utilisateur réel que le logiciel malveillant a tenté de récupérer des charges utiles de deuxième niveau.

Pour ce faire, il a contacté les compartiments Amazon S3 gérés par les pirates, en mélangeant des téléchargements malveillants dans le trafic de services cloud par ailleurs fiable. Certaines variantes intègrent les charges utiles chiffrées dans des fichiers leurres d'apparence anodine afin de réduire encore la probabilité de détection lors du transfert.

Exécution de charges utiles et déploiement de logiciels malveillants

Une fois les contrôles de contournement réussis, le chargeur a établi des connexions sortantes vers des compartiments Amazon S3 contrôlés par l'attaquant afin de récupérer les charges utiles cryptées de deuxième étape. L’utilisation d’infrastructures basées sur le cloud a compliqué les efforts de détection, car le trafic vers des services comme amazonaws.com se fond souvent dans l’activité normale des entreprises.

Des charges utiles ont été téléchargées à partir de :

  • octupusgreat.s3.us-east-1.amazonaws[.]com
  • seasongretting.s3.eu-west-1.amazonaws[.]com
  • seasonmonster.s3.us-east-1.amazonaws[.]com

Après déchiffrement et décompression, le logiciel malveillant a enregistré des fichiers dans des emplacements clés de persistance, notamment :

  • %AppData%\Microsoft\Windows\Start Menu\Programs\Startup\ — Garantissant l'exécution lors de la connexion de l'utilisateur
  • %AppData%\Microsoft\Vault\cred\ — soupçonné d'être utilisé pour stocker des fichiers leurres et stocker des données exfiltrées

Outre la persistance basée sur les fichiers, certaines variantes enregistraient des tâches planifiées ou modifiaient les clés d'exécution automatique du registre afin de maintenir l'accès après les redémarrages du système. Plusieurs exemples ont également retardé l'exécution ou bloqué des fonctionnalités en fonction de l'interaction de l'utilisateur, ce qui complique encore la détection grâce au sandboxing automatisé.

Capacités RAT modulaires

Le logiciel malveillant déployé dans cette campagne présente une architecture modulaire, permettant aux opérateurs d'adapter les fonctionnalités en fonction de l'environnement et des objectifs de la victime. IBM X-Force a observé l'utilisation de charges utiles multiples avec des capacités de surveillance, de vol de données et de persistance qui se chevauchent.

  • RAT Blue Banana
    Livré via un fichier JAR obscurci(windowsdefi.jar), Blue Banana permet l'accès à distance au shell, l'exécution de fichiers, la collecte d'identifiants (par exemple, FileZilla) et même la participation à des attaques DDoS. l était protégé à l'aide des obfuscateurs Branchlock, Zelix KlassMaster et Allatori afin de compliquer son analyse.
  • RAT SambaSpy
    Communication via des domaines DDNS sans IP (par exemple, wwce.zapto[.]org), SambaSpy prend en charge l'accès à la webcam, l'enregistrement des touches, la surveillance du presse-papiers et la manipulation des fichiers. Il utilise des canaux cryptés AES pour l'exfiltration des données et prend en charge l'extensibilité basée sur des plug-ins.
  • Implant SessionBot
    Cet implant léger (tg.jar) effectue la reconnaissance système, recueillant des détails tels que l’historique RDP, les sessions utilisateur et réseau, ainsi que la géolocalisation IP publique. Il tire parti de l'API Telegram Bot pour l'exfiltration et le contrôle des commandes, et télécharge souvent des modules supplémentaires tels que 1.jar, 2.jar ou recovery.jar.

De plus, la campagne a utilisé un outil de vol d'e-mails basé sur Outlook (email.js) exécuté via wscript.exe. Il recherchait les profils Outlook, extrayait le contenu des boîtes de réception et préparait les données pour les exfiltrer via des requêtes HTTP POST basées sur Telegram.

Pour dissimuler son activité, le logiciel malveillant déposait des fichiers leurres d'apparence inoffensive (par exemple, Tranzacție+în+USD-pdf.txt, Swift Confirmation Copy.pdf) qui s'ouvrait lors de l'exécution, renforçant ainsi l'illusion de légitimité alors que des processus malveillants étaient exécutés en arrière-plan.

Infrastructure de commande et de contrôle

En plus de l'infrastructure Amazon S3 décrite précédemment, la campagne a utilisé l'API Bot de Telegram pour le commandement et le contrôle (C2) post-compromission. Cette approche a permis aux acteurs de la menace d'interagir avec les hôtes infectés, d'exfiltrer des données sensibles et d'émettre des instructions de manière dynamique, le tout par le biais d'une infrastructure de messagerie chiffrée couramment autorisée dans les environnements d'entreprise.

Les communications C2 ont été acheminées par le biais des éléments suivants :

  • api.telegram[.]org/bot7369538001...
  • api.telegram[.]org/bot7819421465...

Ces canaux ont été utilisés pour la reconnaissance des systèmes, l'extraction des données de la boîte de réception Outlook et la capture de fichiers par des modules de logiciel malveillant tels que SessionBot et le stealer Outlook e-mail.js. L'utilisation de Telegram a permis d'assurer l'anonymat, le chiffrement et la facilité opérationnelle, tout en compliquant la détection par la surveillance conventionnelle du réseau.

Ce modèle d'infrastructure à double canal, qui combine l'hébergement de charges utiles dans le cloud et la messagerie chiffrée, reflète une tendance croissante chez les acteurs malveillants motivés par l'appât du gain à intégrer du trafic malveillant dans des services de confiance, prolongeant ainsi les temps d'arrêt et augmentant leurs chances de réussite.

Changement de thème

X-Force a constaté un changement dans les techniques utilisées, passant de leurres liés au système SWIFT à des leurres liés aux enquêtes sur les crimes financiers à partir de la fin du mois d'avril.

Exemple de fichier SVG utilisant un leurre sur le thème des enquêtes sur les crimes financiers
Figure 3 : exemple de fichier SVG utilisant un leurre sur le thème des enquêtes sur les crimes financiers

Le fichier SVG utilisant ce thème a enregistré un fichier JAR, Case No.86-2025.jar, sur disque. Ce fichier JAR est le même téléchargeur Java que celui utilisé dans la campagne SWIFT. Un autre changement concernait un RAT basé sur Java, « STRRAT », qui a été observé en cours de téléchargement en même temps que les RAT SambaSpy et Blue Banana. STRRAT est connu pour ses capacités de vol d'informations et sa flexibilité dans l'exécution de multiples fonctions malveillantes. Malgré sa légèreté, STRRAT est capable d’imiter le comportement d’un ransomware et d’offrir un contrôle à distance total sur les systèmes infectés.

Pourquoi est-ce important ?

Cette campagne reflète une évolution plus large des techniques d'hameçonnage, qui vont au-delà de la collecte d'identifiants pour s'orienter vers la diffusion modulaire de logiciel malveillant, l'accès à long terme et l'exfiltration des données. En abusant des fichiers SVG, un format souvent négligé par les filtres de sécurité, les acteurs de la menace démontrent leur volonté d'exploiter les lacunes de la logique de détection conventionnelle.

L'utilisation d'appâts sur le thème SWIFT met en évidence une attention particulière accordée aux institutions financières, tirant parti de leur notoriété et de la confiance qu'elles inspirent pour améliorer les taux de clics. Associés à une infrastructure basée sur le cloud et à des canaux de messagerie cryptés tels que Telegram, les hackers ont réussi à fondre l'activité malveillante dans le trafic normal, réduisant ainsi la probabilité d'une détection précoce.

Pour les défenseurs, cela souligne la nécessité de réévaluer les hypothèses concernant les types de fichiers « sûrs » et les infrastructures bénignes. Le hameçonnage n'est plus seulement un problème d'e-mail, c'est un point d'entrée pour des attaques d'intrusion sophistiquées et en plusieurs étapes. Les entreprises doivent rester vigilantes, étendre leur visibilité aux vecteurs non traditionnels et adapter en permanence leur logique de détection au rythme des innovations des pirates.

Recommandations :

Les entreprises peuvent réduire leur exposition à des campagnes de ce type en combinant la visibilité des terminaux, la configuration sécurisée et la formation des utilisateurs.

  • Maintenez vos outils antivirus et EDR à jour : assurez-vous que les moteurs de détection sont à jour pour identifier les charges utiles et les comportements connus associés aux logiciels malveillants basés sur Java.
  • Appliquer l'authentification multifacteur (MFA): appliquez l'authentification multifacteur à tous les comptes utilisateur, en particulier ceux utilisés pour l'e-mail, l'accès à distance et les systèmes financiers.
  • Appliquez rapidement des correctifs logiciels : maintenez des cycles de correctifs réguliers pour les systèmes d'exploitation, les environnements d'exécution Java, les navigateurs et les clients e-mail afin de réduire les risques d'exploitation.
  • Désactivez les macros par défaut : empêchez l’exécution des macros à partir des pièces jointes aux e-mails, sauf approbation et signature explicites.
  • Appliquez le principe du moindre privilège : limitez les autorisations des comptes utilisateurs à celles strictement nécessaires pour réduire l’impact d’une compromission réussie.
  • Surveillez les abus dans le cloud : inspectez le trafic réseau sortant pour détecter des connexions suspectes vers des plateformes de stockage cloud comme Amazon S3, en particulier vers des compartiments inconnus ou mal configurés.
  • Entraînez les employés aux tactiques d’hameçonnage : entraînez le personnel, en particulier ceux dans les rôles financiers et administratifs, à reconnaître les leurres suspects, les types de fichiers et les méthodes de livraison.

Indicateurs de compromission

Indicateur

Type d'indicateur

Contexte

141e8bf99ff6b58816951ed8bfd82
1079d8082be6c02cb36f0fd1ffe4e
06e664

Hachage du fichier SHA256

Tranzacție+în+USD-pdf.jar (téléchargeur Java)

ae345b40d165255284bf4c6ab00
a871fcb035b552ac0b20b3cfb19e4
644e49b7

Hachage du fichier SHA256

Copie de confirmation Swift.jar (téléchargeur Java)

a4ed118f15c5c943d5964fe381f1bd
4f9ce02d4c0f0212d3f2e95a0e37e
2d1a2

Hachage du fichier SHA256

Case No.86-2025.jar (téléchargeur Java)

6a9f195f6fa9b298b94235b9b7dfa
415f67ce29d0f5135d3e6705ae3c8
4da88b

Hachage du fichier SHA256

e-mail.js (voleur d'e-mails Outlook)

8bcba87df6d459a573441fb848b9
0451d65bce3a0f2AC08844c09892
2672b734

Hachage de fichier SHA256

Copie de confirmation Swift.pdf (fichier leurre)

701435e822a78b82d53281af3ffb2
0b3732462ec99c6f36afdfc6f8eed
4123f9

Hachage du fichier SHA256

Rapport de transaction Swift.js (téléchargeur JavaScript)

f92240185ABF62317800180AB0fb
da19d8e494a693e5a223003f52a8
8e3dda8

Hachage du fichier SHA256

windowsdefi.jar (Blue Banana RAT)

b0dcc56ae5e90f6f2f4d05c679508
32550b05505731b298f8230f0e43e
f35c9e

Hachage du fichier SHA256

soso.jar (SambaSpy RAT)

bc039b022d1a60cb519ae0f43f07d
7155273867cc40ce78025959733d7
95f96f

Hachage du fichier SHA256

core.jar (STRRAT RAT)

6ebab76c90cb36c09119a922d385
45326bb7f211d6b4b9792530e6771
67d0477 

Hachage du fichier SHA256

tg.jar (implant SessionBot)

tcp[:]//wwce.zapto[.]org:443

Domaine

C2 pour RAT SambaSpy and Blue Banana

tcp[:]//wce.zapto[.]org:443

Domaine

C2 pour RAT SambaSpy and Blue Banana

str-master[.]pw

Domaine

C2 pour STRRAT

api.telegram[.]org

Domaine

Exfiltration et communication bot via l'API Telegram

https[:]//octupusgreat.s3.us-east-1.amazonaws[.]com

URL

Charge utile initiale hébergée sur un compartiment Amazon S3

https[:]//seasongretting.s3.eu-west-1.amazonaws[.]com

URL

Charges utiles hébergées sur le compartiment Amazon S3

https[:]//seasonmonster.s3.us-east-1.amazonaws[.]com

URL

Charges utiles hébergées sur le compartiment Amazon S3

https[:]//fullpremier.s3.eu-west-1.amazonaws[.]com

URL

Charges utiles hébergées sur le compartiment Amazon S3

java -jar Tranzacție+în+USD-pdf.jar

Processus

Commande d’exécution de logiciel malveillant

tasklist.exe

Processus

Utilisé par des logiciels malveillants pour énumérer les outils d’analyse

wscript.exe email.js

Processus

Exécute le processus de vol d'e-mail

swiftzjy1@financeplus[.]me

Adresse e-mail

Acteur de la menace e-mail

swiftkbp1@farmaciafamiliei[.]md

Adresse e-mail

Acteur de la menace e-mail

swiftkcs1@farmaciafamiliei[.]md

Adresse e-mail

Acteur de la menace e-mail

swiftotb1@financeplus[.]me

Adresse e-mail

Acteur de la menace e-mail

swiftugt1@financeplus[.]me

Adresse e-mail

Acteur de la menace e-mail

swiftvqz1@financeplus[.]me

Adresse e-mail

Acteur de la menace e-mail

swiftzjy1@financeplus[.]me

Adresse e-mail

Acteur de la menace e-mail

Copie de confirmation Swift.jar

Fichier d'archive Java

JAR malveillant utilisé lors de l'exécution initiale

Rapport de transaction Swift.js

Fichier JavaScript

Chargeur JavaScript obfusqué

Copie de confirmation Swift.pdf

Fichier PDF

Fichier PDF leurre affiché après l’infection initiale

IBM X-Force Premier Threat Intelligence est désormais intégré à OpenCTI par Filigran, fournissant des renseignements opérationnels exploitables sur cette activité malveillante et bien plus encore. Accédez à des informations sur les acteurs de la menace, les logiciels malveillants et les risques sectoriels. Installez le X-Force OpenCTI Connector pour améliorer la détection et la réponse, en renforçant votre cybersécurité grâce à l’expertise d’IBM X-Force. Obtenez une version d'essai de 30 jours de X-Force Premier Threat Intelligence dès aujourd'hui !

