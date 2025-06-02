Tag
Weaponized SVG: all'interno di una campagna globale di phishing rivolta agli istituti finanziari

Una mano che tiene uno smartphone su uno sfondo blu con una busta bianca su un gancio da pesca appeso in alto

Nel corso del 2025, IBM X-Force ha monitorato una campagna di phishing rivolta a istituti finanziari in tutto il mondo. Questa operazione ha utilizzato file Scalable Vector Graphics (SVG) incorporati con JavaScript per avviare infezioni malware in più fasi. Sebbene l'uso degli SVG nel phishing non sia una novità, i recenti rapporti indicano un notevole aumento di questa tattica, segnalando un cambiamento più ampio nel landscape.

Questa campagna va oltre la tradizionale raccolta di credenziali, impiegando caricatori avanzati, trojan di accesso remoto modulari (RAT) e infrastrutture affidabili come Amazon S3 e Telegram per il comando e controllo (C2). L'attività mostra come gli aggressori stiano evolvendo le tecniche di phishing in operazioni di accesso iniziale su larga scala.

Risultati principali:

  • SVG come accesso iniziale: gli attori delle minacce utilizzano file SVG incorporati con JavaScript per bypassare i filtri di sicurezza tradizionali e avviare infezioni malware a più stadi.
  • Targeting del settore finanziario: la campagna utilizza esche a tema SWIFT per impersonare comunicazioni finanziarie affidabili, mirate specificamente a istituti finanziari in diverse regioni.
  • Consegna malware basata su Java: quando viene eseguito, il JavaScript embedded SVG rilascia un archivio ZIP contenente un file JavaScript utilizzato per scaricare un loader basato su Java. Se Java è presente, implementa malware modulari tra cui Blue Banana RAT, SambaSpy e SessionBot.
  • Tattiche di evasione avanzate: il malware esegue i controlli anti-analisi e la convalida ambientale per garantire l'esecuzione solo in ambienti non sabbiosi e con utenti reali.
  • Abuso delle infrastrutture legittime: i payload e le comunicazioni C2 vengono instradati tramite Amazon S3 e Telegram, aiutando l'attività a fondersi con il normale traffico aziendale ed a evitare il rilevamento.
  • Tendenza emergente dell'arte professionale: questa campagna riflette un cambiamento più ampio nelle tecniche di phishing, dove gli attaccanti abusano sempre più di formati di file non tradizionali come SVG per la distribuzione di malware.
Panoramica della campagna

L'analisi di X-Force ha scoperto una campagna globale di phishing che utilizzava file SVG come vettore di attacco iniziale. Questi file, camuffati da documenti di transazione finanziaria, contengono JavaScript incorporato che scrive un archivio ZIP nel sistema. All'interno dell'archivio, un file JavaScript avvia una catena di infezione malware, distribuendo infine RAT come Blue Banana, SambaSpy e SessionBot. Questi payload sono progettati per il furto di credenziali, il dirottamento di sessioni, la sorveglianza ed esfiltrazione dei dati, rappresentando rischi significativi per le organizzazioni bersaglio.

Il malware comunica tramite Amazon S3 e l'API Telegram bot, confondendosi con il traffico legittimo e complicando gli sforzi di rilevamento. Utilizzando un formato di file raramente esaminato nei filtri antiphishing, la campagna bypassa facilmente le difese tradizionali.

Questo approccio riflette un modello emergente nei recenti reportage OSINT, nei blog tecnici e nelle analisi di settore, evidenziando come gli SVG vengano sempre più abusati per incorporare i malware loader e reindirizzare le vittime verso contenuti dannosi.

In particolare, l'uso da parte della campagna di esche a tema SWIFT (che fanno riferimento alla Society for Worldwide Interbank Financial Telecommunication (SWIFT), la rete globale utilizzata dalle istituzioni finanziarie per la messaggistica sicura) suggerisce un'attenzione deliberata alle vittime nel settore finanziario.

Questa attività illustra una tendenza più ampia nelle tecniche di phishing: gli aggressori stanno andando oltre il furto di credenziali e stanno diffondendo malware avanzati utilizzando vettori creativi e discreti. I difensori dovrebbero di conseguenza adattare la logica di rilevamento e la formazione dei dipendenti, riconoscendo che anche tipi di file innocui come gli SVG possono ora agire come piattaforme di consegna malware.

All'interno della campagna

A differenza delle tipiche campagne di phishing che mirano al furto di credenziali tramite pagine di login falsificate, questa campagna è passata da esca a loader, trasformando quello che sembrava un file immagine nel punto di partenza per una catena di infezioni malware a più stadi.

Distirbuzione iniziale: esca mascherata da immagini

La fase iniziale di accesso alla campagna ha coinvolto e-mail di phishing che impersonavano SWIFT Global Services, esortando i destinatari a rivedere le conferme di pagamento o di trasferimento in scadenza. Il file allegato, presentato come un documento legittimo, era in realtà un SVG modificato contenente JavaScript.

Una volta eseguito il rendering, la vittima viene indotta a scaricare un report che sembra essere un file PDF. Tuttavia, selezionando uno dei due PDF, il JavaScript salverà un file di archivio ZIP nel sistema.

Esempio di e-mail di phishing SWIFT inviata alle organizzazioni vittime
Figura 1: Esempio di e-mail di phishing SWIFT inviata alle organizzazioni vittime
Esempio di file SVG renderizzato
Figura 2: Esempio di file SVG renderizzato

Da SVG a malware loader

Una volta estratto e sbloccato l'archivio, le vittime trovano un file chiamato Swift Transaction Report.js che contiene JavaScript offuscato. Lo script era progettato per eludere il rilevamento utilizzando tecniche di codifica di escape Unicode e concatenazione di stringhe. L'esecuzione dello script attiverà il download di un file Java Archive (JAR) fortemente offuscato, come Swift Confirmation Copy.jar e Tranzacție+în+USD-pdf.jar. Questi agivano come scaricatori di primo stadio, sfruttando offuscatori come Branchlock e Zelix KlassMaster per eludere analisi statiche e comportamentali.

IBM X-Force ha analizzato alcuni campioni SVG che rilasciavano il downloader JAR anziché il file ZIP contenente JavaScript, bypassando una fase della catena di infezione.

Se il sistema di destinazione aveva installato il Java Runtime Environment (JRE), il loader eseguiva e avviava una serie di controlli ambientali per rilevare sandbox o strumenti di analisi. Questi includono l'ispezione dei processi di sistema, l'entropia e gli indicatori di virtualizzazione. Solo dopo aver convalidato un ambiente utente reale il malware ha tentato di recuperare i payload di secondo stadio.

Per farlo, si è rivolto ai bucket Amazon S3 controllati dagli attaccanti, integrando download dannosi con traffico di cloud service altrimenti affidabili. Alcune varianti hanno incorporato i payload crittografati all'interno di file decoy dall'aspetto benigno, per ridurre ulteriormente la probabilità di rilevamento durante il trasferimento.

Esecuzione del payload e implementazione di malware

Una volta superati i controlli di evasione, il loader stabiliva connessioni in uscita con i bucket Amazon S3 controllati dall'attaccante per recuperare i payload del secondo stadio criptati. L'uso di un'infrastruttura basata su cloud ha aggiunto complessità agli sforzi di rilevamento, poiché il traffico verso servizi come amazonaws.com spesso si confonde con l'attività aziendale normale.

È stato osservato che i payload venivano scaricati da:

  • octupusgreat.s3.us-east-1.amazonaws[.]com
  • seasongretting.s3.eu-west-1.amazonaws[.]com
  • seasonmonster.s3.us-east-1.amazonaws[.]com

Dopo la decrittazione e lo sblocco, il malware scriveva file nelle posizioni chiave di persistenza, tra cui:

  • %AppData%\Microsoft\Windows\Start Menu\Programs\Startup\ — per garantire l'esecuzione al momento dell'accesso dell'utente
  • %AppData%\Microsoft\Vault\cred\ — che si pensa venisse utilizzato per la messa in scena di file esca e la memorizzazione di dati esfiltrati

Oltre alla persistenza basata su file, alcune varianti registravano task programmate o modificavano le chiavi automatiche del registro per mantenere l'accesso durante i riavvii del sistema. Diversi esempi hanno inoltre ritardato l'esecuzione o hanno bloccato la funzionalità in base all'interazione dell'utente, complicando ulteriormente la rilevamento tramite sandbox automatico.

Funzionalità modulari RAT

Il malware impiegato in questa campagna presenta un'architettura modulare, permettendo agli operatori di personalizzare le funzionalità in base all'ambiente e agli obiettivi della vittima. IBM X-Force ha osservato l'uso di payload multipli con funzionalità di sorveglianza, furto di dati e persistenza sovrapposte.

  • Blue Banana RAT
    Consegnato tramite un file JAR offuscato(windowsdefi.jar), Blue Banana consente l'accesso remoto alla shell, l'esecuzione dei file, la raccolta delle credenziali (ad esempio, FileZilla) e persino la partecipazione a DDoS. È stato protetto utilizzando gli offuscatori Branchlock, Zelix KlassMaster e Allatori per complicare l'analisi.
  • SambaSpy RAT
    Comunicazione tramite domini DDNS No-IP (ad esempio, wwce.zapto[.]org), SambaSpy supporta l'accesso alla webcam, il keylogging, il monitoraggio degli appunti e la manipolazione dei file. Utilizza canali cifrati con AES per l'esfiltrazione dei dati e supporta l'estensibilità basata su plugin.
  • Impianto SessionBot
    Questo impianto leggero (tg.jar) esegue la ricognizione del sistema, raccogliendo dettagli quali cronologia RDP, sessioni utente e di rete e geolocalizzazione IP pubblica. Utilizza l'API del bot di Telegram per l'esfiltrazione e il controllo di comando, spesso scaricando moduli aggiuntivi come 1.jar, 2.jar o recovery.jar.

Inoltre, la campagna ha impiegato un e-mail stealer (email.js) focalizzato su Outlook eseguito tramite wscript.exe. Scansionava i profili Outlook, estraeva il contenuto della casella di posta e organizzava i dati per l'esfiltrazione tramite richieste HTTP POST basate su Telegram.

Per nascondere la sua attività, il malware rilasciava file esca dall'aspetto innocuo (ad esempio, Tranzacție+în+USD-pdf.txt, Swift Confirmation Copy.pdf) che si apriva al momento dell'esecuzione, rafforzando l'illusione di legittimità mentre i processi dannosi venivano eseguiti in background.

Infrastruttura di comando e controllo

Oltre all'infrastruttura Amazon S3 descritta in precedenza, la campagna ha utilizzato l'API del bot di Telegram per il comando e il controllo post-compromissione (C2). Questo approccio ha permesso agli attori delle minacce di interagire con host infetti, estrarre dati sensibili ed emettere istruzioni dinamiche, in tutta l'infrastruttura di messaggistica criptata comunemente consentita negli ambienti aziendali.

Le comunicazioni C2 venivano instradate attraverso:

  • api.telegram[.]org/bot7369538001...
  • api.telegram[.]org/bot7819421465...

Questi canali sono stati utilizzati per la ricognizione del sistema, l'estrazione dei dati della casella di posta elettronica di Outlook e l'acquisizione di file da parte di moduli malware come SessionBot e e-mail.js Outlook stealer. L'uso di Telegram garantiva anonimato, crittografia e facilità operativa, complicando al contempo il rilevamento tramite il monitoraggio convenzionale della rete.

Questo modello di infrastruttura dual-channel, che combina l'hosting di payload basato su cloud con messaggi criptati, riflette una tendenza crescente tra gli attori delle minacce finanziariamente motivati a integrare traffico malevolo in servizi affidabili, prolungando il tempo di permanenza e aumentando la probabilità di successo.

Cambiamento di tema

X-Force ha osservato le prove di un cambiamento dall'uso di esche a tema SWIFT a un'esca a tema indagini sui crimini finanziari a partire dalla fine di aprile.

Esempio di un file SVG che utilizza un'esca a tema di indagini sui crimini finanziari
Figura 3: Esempio di un file SVG che utilizza un'esca a tema di indagine sui crimini finanziari

Il file SVG che utilizza questo tema ha salvato un file JAR, Case No.86-2025.jar su disco. Questo JAR è lo stesso downloader basato su Java utilizzato nella campagna a tema SWIFT. Un altro cambiamento ha incluso un RAT basato su Java, 'STRRAT', che è stato osservato scaricare insieme ai RAT SambaSpy e Blue Banana. STRRAT è noto per le sue funzionalità di furto di informazioni e la flessibilità nell'erogazione di molteplici funzioni dannose. Nonostante sia relativamente leggero, STRRAT è in grado di imitare il comportamento ransomware e di consentire il pieno controllo remoto dei sistemi infetti.

Perché è importante

Questa campagna riflette un'evoluzione più ampia del mestiere del phishing, che va oltre la raccolta di credenziali per passare alla distribuzione modulare di malware, all'accesso a lungo termine e all'esfiltrazione dei dati. Abusando dei file SVG, un formato spesso trascurato dai filtri di sicurezza, gli attori delle minacce dimostrano la disponibilità ad utilizzare le lacune nella logica di rilevamento convenzionale.

L'uso di esche a tema SWIFT evidenzia un focus deliberato sulle istituzioni finanziarie, sfruttando familiarità e fiducia per aumentare i tassi di click. Combinato con infrastrutture basate su cloud e canali di messaggistica criptati come Telegram, gli attaccanti integrano efficacemente attività malevole nel traffico normale, riducendo la probabilità di rilevamento precoce.

Per i difensori, ciò sottolinea la necessità di rivalutare le ipotesi sui tipi di file "sicuri" e sulle infrastrutture benigne. Il phishing non è più solo un problema di e-mail: è un punto di ingresso per attacchi di intrusione sofisticati e a più stadi. Le organizzazioni devono rimanere vigili, estendendo la visibilità ai vettori non tradizionali e adattando continuamente la logica di rilevamento per adattarsi al ritmo dell'innovazione degli attaccanti.

Raccomandazioni:

Le organizzazioni possono ridurre la loro esposizione a campagne di questo tipo combinando visibilità degli endpoint, configurazione sicura e formazione degli utenti.

  • Mantenere aggiornati gli strumenti antivirus e EDR: assicurarsi che i motori di rilevamento siano aggiornati per identificare payload e comportamenti noti associati al malware.
  • Applicare l'autenticazione multifattore (MFA): applicare l'MFA su tutti gli account utente, in particolare quelli utilizzati per e-mail, accesso remoto e sistemi finanziari.
  • Applicare tempestivamente le patch software: mantieni cicli di patch regolari per sistemi operativi, runtime Java, browser e client e-mail per ridurre le opportunità di exploit.
  • Disabilitare le macro di default: impedire l'esecuzione delle macro dagli allegati e-mail a meno che non siano esplicitamente approvate e firmate.
  • Applicare il privilegio minimo: limita le autorizzazioni degli account utente solo a ciò che è necessario per ridurre il raggio d'azione di una compromissione riuscita.
  • Monitorare l'abuso del cloud: ispezionare il traffico di rete in uscita per connessioni sospette a piattaforme di cloud storage come Amazon S3, in particolare verso bucket sconosciuti o mal configurati.
  • Addestrare i dipendenti sulle tattiche di phishing: addestrare il personale, in particolare quelli che ricoprono ruoli finanziari e amministrativi, su come riconoscere esche sospette, tipi di file e metodi di consegna.

Indicatori di compromesso

Indicatore

Tipo di indicatore

Contesto

141e8bf99ff6b58816951ed8bfd82
1079d8082be6c02cb36f0fd1ffe4e
06e664

Hash file SHA256

Tranzacție+în+USD-pdf.jar (downloader Java)

ae345b40d165255284bf4c6ab00
a871fcb035b552ac0b20b3cfb19e4
644e49b7

Hash file SHA256

Swift Confirmation Copy.jar (downloader Java)

a4ed118f15c5c943d5964fe381f1bd
4f9ce02d4c0f0212d3f2e95a0e37e
2d1a2

Hash file SHA256

Case No.86-2025.jar (downloader Java)

6a9f195f6fa9b298b94235b9b7dfa
415f67ce29d0f5135d3e6705ae3c8
4da88b

Hash file SHA256

email.js (strumento per rubare le e-mail di Outlook)

8bcba87df6d459a573441fb848b9
0451d65bce3a0f2ac08844c09892
2672b734

Hash file SHA256

Copia di conferma rapida.pdf (file esca)

701435e822a78b82d53281af3ffb2
0b3732462ec99c6f36afdfc6f8eed
4123f9

Hash file SHA256

Swift Transaction Report.js (downloader JavaScript)

f92240185abf62317800180aba0fb
da19d8e494a693e5a223003f52a8
8e3dda8

Hash file SHA256

windowsdefi.jar (Blue Banana RAT)

b0dcc56ae5e90f6f2f4d05c679508
32550b05505731b298f8230f0e43e
f35c9e

Hash file SHA256

soso.jar (SambaSpy RAT)

bc039b022d1a60cb519ae0f43f07d
7155273867cc40ce78025959733d7
95f96f

Hash file SHA256

core.jar (STRRAT RAT)

6ebab76c90cb36c09119a922d385
45326bb7f211d6b4b9792530e6771
67d0477 

Hash file SHA256

tg.jar (SessionBot Implant)

tcp[:]//wwce.zapto[.]org:443

Dominio

C2 per RAT SambaSpy e Blue Banana

tcp[:]//wce.zapto[.]org:443

Dominio

C2 per RAT SambaSpy e Blue Banana

str-master[.]pw

Dominio

C2 per STRRAT

api.telegram[.]org

Dominio

Esfiltrazione e comunicazione con i bot tramite Telegram API

https[:]//octupusgreat.s3.us-east-1.amazonaws[.]com

URL

Payload iniziale ospitato sul bucket Amazon S3

https[:]//seasongretting.s3.eu-west-1.amazonaws[.]com

URL

Payload ospitati su Amazon S3 bucket

https[:]//seasonmonster.s3.us-east-1.amazonaws[.]com

URL

Payload ospitati su Amazon S3 bucket

https[:]//fullpremier.s3.eu-west-1.amazonaws[.]com

URL

Payload ospitati su Amazon S3 bucket

java -jar Tranzacție+în+USD-pdf.jar

Processo

Comando di esecuzione del malware

tasklist.exe

Processo

Utilizzato dal malware per enumerare gli strumenti di analisi

wscript.exe email.js

Processo

Esegue il processo di furto di e-mail

swiftzjy1@financeplus[.]me

Indirizzo e-mail

E-mail dell'attore delle minacce

swiftkbp1@farmaciafamiliei[.]md

Indirizzo e-mail

E-mail dell'attore delle minacce

swiftkcs1@farmaciafamiliei[.]md

Indirizzo e-mail

E-mail dell'attore delle minacce

swiftotb1@financeplus[.]me

Indirizzo e-mail

E-mail dell'attore delle minacce

swiftugt1@financeplus[.]me

Indirizzo e-mail

E-mail dell'attore delle minacce

swiftvqz1@financeplus[.]me

Indirizzo e-mail

E-mail dell'attore delle minacce

swiftzjy1@financeplus[.]me

Indirizzo e-mail

E-mail dell'attore delle minacce

Swift Confirmation Copy.jar

File di archivio Java

JAR dannoso utilizzato nell'esecuzione iniziale

Swift Transaction Report.js

File JavaScript

JavaScript loader offuscato

Swift Confirmation Copy.pdf

File PDF

File PDF esca mostrato dopo l'infezione iniziale

IBM X-Force Premier Threat Intelligence è ora integrato con OpenCTI di Filigran, offrendo informazioni fruibili sulle minacce e molto altro ancora. Accedi a insight su attori delle minacce, malware e rischi dei settori. Installa l'X-Force OpenCTI Connector per migliorare rilevamento e risposta, rafforzando la tua cybersecurity grazie all'esperienza di IBM X-Force. Ottieni oggi stesso una prova di 30 giorni X-Force Premier Threat Intelligence!

