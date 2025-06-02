Tout au long de l'année 2025, IBM X-Force a suivi une campagne d'hameçonnage visant les institutions financières du monde entier. Cette opération tirait parti de fichiers évolutif Vector Graphics (SVG) malveillants intégrant du code JavaScript afin de déclencher des infections de logiciel malveillant à plusieurs étapes. Bien que l'utilisation de SVG pour le hameçonnage ne soit pas une nouveauté, des informations récentes indiquent une nette augmentation de cette tactique, signe d'une évolution générale du paysage des menaces.
Cette campagne va au-delà de la collecte traditionnelle d'identifiants : elle utilise des chargeurs avancés, des chevaux de Troie d'accès à distance (RAT) modulaires et des infrastructures fiables telles qu'Amazon S3 et Telegram pour le commandement et le contrôle (C2). L'activité montre comment les pirates font évoluer les techniques de hameçonnage en opérations d'accès initial à grande échelle.
L'analyse X-Force a révélé une campagne mondiale de phishing utilisant des fichiers SVG comme vecteur d'attaque initial. Ces fichiers, présentés comme des documents de transactions financières, contiennent du code JavaScript intégré qui crée une archive ZIP dans le système. Dans l'archive, un fichier JavaScript initie une chaîne d'infection par des logiciels malveillants, déployant finalement des RAT tels que Blue Banana, SambaSpy et SessionBot. Ces charges utiles sont conçues pour le vol d'identifiants, le détournement de session, la surveillance et l'exfiltration de données, ce qui représente des risques importants pour les organisations ciblées.
Le logiciel malveillant communique via Amazon S3 et l'API Telegram Bot, se fondant dans le trafic légitime et compliquant les efforts de détection. En utilisant un format de fichier rarement examiné par les filtres anti-hameçonnage, la campagne contourne facilement les défenses traditionnelles.
Cette approche reflète une tendance émergente dans les récents rapports OSINT, blogs techniques et analyses sectorielles, soulignant la manière dont les SVG sont de plus en plus utilisés de manière abusive pour intégrer des chargeurs de logiciels malveillants et rediriger les victimes vers des contenus malveillants.
Il convient de noter que l'utilisation dans cette campagne de leurres faisant référence à SWIFT (Society for Worldwide Interbank Financial Telecommunication, le réseau mondial utilisé par les institutions financières pour sécuriser leurs communications) suggère une cible délibérée des victimes dans le secteur financier.
Cette activité illustre une tendance plus large dans les techniques de phishing : les pirates vont au-delà du vol d'identifiants et distribuent désormais des logiciels malveillants avancés à l'aide de vecteurs créatifs et discrets. Les défenseurs doivent adapter la logique de détection et la formation des employés en conséquence, en reconnaissant que même des types de fichiers inoffensifs comme les SVG peuvent désormais servir de plateformes de diffusion de logiciels malveillants.
Contrairement aux campagnes de hameçonnage classiques qui visent à voler des identifiants via de fausses pages de connexion, cette campagne est passée d'un leurre à un chargeur, transformant ce qui semblait être un fichier image en point de départ d'une chaîne d'infection par un logiciel malveillant en plusieurs étapes.
La première phase d'accès à la campagne a consisté en l'envoi d'e-mails d'hameçonnage usurpant l'identité de SWIFT Global Services et invitant les destinataires à examiner des confirmations de paiement ou de transfert urgentes. Le fichier joint, présenté comme un document légitime, était un SVG contenant du JavaScript.
Une fois le rapport rendu, la victime est incitée à télécharger un rapport qui semble être un fichier PDF ; cependant, en sélectionnant l'un ou l'autre des PDF, le JavaScript enregistre un fichier d'archive ZIP sur le système.
Une fois l'archive extraite et décompressée, les victimes découvrent un fichier nommé Swift Transaction Report.js qui contient du code JavaScript obscurci. Le script a été conçu pour échapper à la détection à l'aide de techniques d'échappement Unicode et de concaténation de chaînes. L'exécution du script déclenche le téléchargement d'un fichier Java Archive (JAR) fortement obscurci, tel que Swift Confirmation Copy.jar et Tranzacție+în+USD-pdf.jar. Ces derniers ont agi comme des téléchargeurs de premier niveau, exploitant des obscurcisseurs tels que Branchlock et Zelix KlassMaster pour échapper à l'analyse statique et comportementale.
IBM X-Force a analysé quelques échantillons SVG qui ont supprimé le téléchargeur JAR au lieu du fichier ZIP contenant le code JavaScript, contournant ainsi une étape de la chaîne d'infection.
Si le système cible disposait du Java Runtime Environment (JRE), le chargeur s'exécutait et lançait une série de vérifications environnementales afin de détecter la présence d'outils de sandboxing ou d'analyse. Il s'agissait notamment d'inspecter les processus du système, l'entropie et les indicateurs de virtualisation. Ce n'est qu'après avoir validé un environnement d'utilisateur réel que le logiciel malveillant a tenté de récupérer des charges utiles de deuxième niveau.
Pour ce faire, il a contacté les compartiments Amazon S3 gérés par les pirates, en mélangeant des téléchargements malveillants dans le trafic de services cloud par ailleurs fiable. Certaines variantes intègrent les charges utiles chiffrées dans des fichiers leurres d'apparence anodine afin de réduire encore la probabilité de détection lors du transfert.
Une fois les contrôles de contournement réussis, le chargeur a établi des connexions sortantes vers des compartiments Amazon S3 contrôlés par l'attaquant afin de récupérer les charges utiles cryptées de deuxième étape. L’utilisation d’infrastructures basées sur le cloud a compliqué les efforts de détection, car le trafic vers des services comme amazonaws.com se fond souvent dans l’activité normale des entreprises.
Des charges utiles ont été téléchargées à partir de :
Après déchiffrement et décompression, le logiciel malveillant a enregistré des fichiers dans des emplacements clés de persistance, notamment :
Outre la persistance basée sur les fichiers, certaines variantes enregistraient des tâches planifiées ou modifiaient les clés d'exécution automatique du registre afin de maintenir l'accès après les redémarrages du système. Plusieurs exemples ont également retardé l'exécution ou bloqué des fonctionnalités en fonction de l'interaction de l'utilisateur, ce qui complique encore la détection grâce au sandboxing automatisé.
Le logiciel malveillant déployé dans cette campagne présente une architecture modulaire, permettant aux opérateurs d'adapter les fonctionnalités en fonction de l'environnement et des objectifs de la victime. IBM X-Force a observé l'utilisation de charges utiles multiples avec des capacités de surveillance, de vol de données et de persistance qui se chevauchent.
De plus, la campagne a utilisé un outil de vol d'e-mails basé sur Outlook (email.js) exécuté via wscript.exe. Il recherchait les profils Outlook, extrayait le contenu des boîtes de réception et préparait les données pour les exfiltrer via des requêtes HTTP POST basées sur Telegram.
Pour dissimuler son activité, le logiciel malveillant déposait des fichiers leurres d'apparence inoffensive (par exemple, Tranzacție+în+USD-pdf.txt, Swift Confirmation Copy.pdf) qui s'ouvrait lors de l'exécution, renforçant ainsi l'illusion de légitimité alors que des processus malveillants étaient exécutés en arrière-plan.
En plus de l'infrastructure Amazon S3 décrite précédemment, la campagne a utilisé l'API Bot de Telegram pour le commandement et le contrôle (C2) post-compromission. Cette approche a permis aux acteurs de la menace d'interagir avec les hôtes infectés, d'exfiltrer des données sensibles et d'émettre des instructions de manière dynamique, le tout par le biais d'une infrastructure de messagerie chiffrée couramment autorisée dans les environnements d'entreprise.
Les communications C2 ont été acheminées par le biais des éléments suivants :
Ces canaux ont été utilisés pour la reconnaissance des systèmes, l'extraction des données de la boîte de réception Outlook et la capture de fichiers par des modules de logiciel malveillant tels que SessionBot et le stealer Outlook e-mail.js. L'utilisation de Telegram a permis d'assurer l'anonymat, le chiffrement et la facilité opérationnelle, tout en compliquant la détection par la surveillance conventionnelle du réseau.
Ce modèle d'infrastructure à double canal, qui combine l'hébergement de charges utiles dans le cloud et la messagerie chiffrée, reflète une tendance croissante chez les acteurs malveillants motivés par l'appât du gain à intégrer du trafic malveillant dans des services de confiance, prolongeant ainsi les temps d'arrêt et augmentant leurs chances de réussite.
X-Force a constaté un changement dans les techniques utilisées, passant de leurres liés au système SWIFT à des leurres liés aux enquêtes sur les crimes financiers à partir de la fin du mois d'avril.
Le fichier SVG utilisant ce thème a enregistré un fichier JAR, Case No.86-2025.jar, sur disque. Ce fichier JAR est le même téléchargeur Java que celui utilisé dans la campagne SWIFT. Un autre changement concernait un RAT basé sur Java, « STRRAT », qui a été observé en cours de téléchargement en même temps que les RAT SambaSpy et Blue Banana. STRRAT est connu pour ses capacités de vol d'informations et sa flexibilité dans l'exécution de multiples fonctions malveillantes. Malgré sa légèreté, STRRAT est capable d’imiter le comportement d’un ransomware et d’offrir un contrôle à distance total sur les systèmes infectés.
Cette campagne reflète une évolution plus large des techniques d'hameçonnage, qui vont au-delà de la collecte d'identifiants pour s'orienter vers la diffusion modulaire de logiciel malveillant, l'accès à long terme et l'exfiltration des données. En abusant des fichiers SVG, un format souvent négligé par les filtres de sécurité, les acteurs de la menace démontrent leur volonté d'exploiter les lacunes de la logique de détection conventionnelle.
L'utilisation d'appâts sur le thème SWIFT met en évidence une attention particulière accordée aux institutions financières, tirant parti de leur notoriété et de la confiance qu'elles inspirent pour améliorer les taux de clics. Associés à une infrastructure basée sur le cloud et à des canaux de messagerie cryptés tels que Telegram, les hackers ont réussi à fondre l'activité malveillante dans le trafic normal, réduisant ainsi la probabilité d'une détection précoce.
Pour les défenseurs, cela souligne la nécessité de réévaluer les hypothèses concernant les types de fichiers « sûrs » et les infrastructures bénignes. Le hameçonnage n'est plus seulement un problème d'e-mail, c'est un point d'entrée pour des attaques d'intrusion sophistiquées et en plusieurs étapes. Les entreprises doivent rester vigilantes, étendre leur visibilité aux vecteurs non traditionnels et adapter en permanence leur logique de détection au rythme des innovations des pirates.
Les entreprises peuvent réduire leur exposition à des campagnes de ce type en combinant la visibilité des terminaux, la configuration sécurisée et la formation des utilisateurs.
Indicateur
Type d'indicateur
Contexte
141e8bf99ff6b58816951ed8bfd82
Hachage du fichier SHA256
Tranzacție+în+USD-pdf.jar (téléchargeur Java)
ae345b40d165255284bf4c6ab00
Hachage du fichier SHA256
Copie de confirmation Swift.jar (téléchargeur Java)
a4ed118f15c5c943d5964fe381f1bd
Hachage du fichier SHA256
Case No.86-2025.jar (téléchargeur Java)
6a9f195f6fa9b298b94235b9b7dfa
Hachage du fichier SHA256
e-mail.js (voleur d'e-mails Outlook)
8bcba87df6d459a573441fb848b9
Hachage de fichier SHA256
Copie de confirmation Swift.pdf (fichier leurre)
701435e822a78b82d53281af3ffb2
Hachage du fichier SHA256
Rapport de transaction Swift.js (téléchargeur JavaScript)
f92240185ABF62317800180AB0fb
Hachage du fichier SHA256
windowsdefi.jar (Blue Banana RAT)
b0dcc56ae5e90f6f2f4d05c679508
Hachage du fichier SHA256
soso.jar (SambaSpy RAT)
bc039b022d1a60cb519ae0f43f07d
Hachage du fichier SHA256
core.jar (STRRAT RAT)
6ebab76c90cb36c09119a922d385
Hachage du fichier SHA256
tg.jar (implant SessionBot)
tcp[:]//wwce.zapto[.]org:443
Domaine
C2 pour RAT SambaSpy and Blue Banana
tcp[:]//wce.zapto[.]org:443
Domaine
C2 pour RAT SambaSpy and Blue Banana
str-master[.]pw
Domaine
C2 pour STRRAT
api.telegram[.]org
Domaine
Exfiltration et communication bot via l'API Telegram
https[:]//octupusgreat.s3.us-east-1.amazonaws[.]com
URL
Charge utile initiale hébergée sur un compartiment Amazon S3
https[:]//seasongretting.s3.eu-west-1.amazonaws[.]com
URL
Charges utiles hébergées sur le compartiment Amazon S3
https[:]//seasonmonster.s3.us-east-1.amazonaws[.]com
URL
Charges utiles hébergées sur le compartiment Amazon S3
https[:]//fullpremier.s3.eu-west-1.amazonaws[.]com
URL
Charges utiles hébergées sur le compartiment Amazon S3
java -jar Tranzacție+în+USD-pdf.jar
Processus
Commande d’exécution de logiciel malveillant
tasklist.exe
Processus
Utilisé par des logiciels malveillants pour énumérer les outils d’analyse
wscript.exe email.js
Processus
Exécute le processus de vol d'e-mail
swiftzjy1@financeplus[.]me
Adresse e-mail
Acteur de la menace e-mail
swiftkbp1@farmaciafamiliei[.]md
Adresse e-mail
Acteur de la menace e-mail
swiftkcs1@farmaciafamiliei[.]md
Adresse e-mail
Acteur de la menace e-mail
swiftotb1@financeplus[.]me
Adresse e-mail
Acteur de la menace e-mail
swiftugt1@financeplus[.]me
Adresse e-mail
Acteur de la menace e-mail
swiftvqz1@financeplus[.]me
Adresse e-mail
Acteur de la menace e-mail
swiftzjy1@financeplus[.]me
Adresse e-mail
Acteur de la menace e-mail
Copie de confirmation Swift.jar
Fichier d'archive Java
JAR malveillant utilisé lors de l'exécution initiale
Rapport de transaction Swift.js
Fichier JavaScript
Chargeur JavaScript obfusqué
Copie de confirmation Swift.pdf
Fichier PDF
Fichier PDF leurre affiché après l’infection initiale
