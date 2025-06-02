Nel corso del 2025, IBM X-Force ha monitorato una campagna di phishing rivolta a istituti finanziari in tutto il mondo. Questa operazione ha utilizzato file Scalable Vector Graphics (SVG) incorporati con JavaScript per avviare infezioni malware in più fasi. Sebbene l'uso degli SVG nel phishing non sia una novità, i recenti rapporti indicano un notevole aumento di questa tattica, segnalando un cambiamento più ampio nel landscape.
Questa campagna va oltre la tradizionale raccolta di credenziali, impiegando caricatori avanzati, trojan di accesso remoto modulari (RAT) e infrastrutture affidabili come Amazon S3 e Telegram per il comando e controllo (C2). L'attività mostra come gli aggressori stiano evolvendo le tecniche di phishing in operazioni di accesso iniziale su larga scala.
L'analisi di X-Force ha scoperto una campagna globale di phishing che utilizzava file SVG come vettore di attacco iniziale. Questi file, camuffati da documenti di transazione finanziaria, contengono JavaScript incorporato che scrive un archivio ZIP nel sistema. All'interno dell'archivio, un file JavaScript avvia una catena di infezione malware, distribuendo infine RAT come Blue Banana, SambaSpy e SessionBot. Questi payload sono progettati per il furto di credenziali, il dirottamento di sessioni, la sorveglianza ed esfiltrazione dei dati, rappresentando rischi significativi per le organizzazioni bersaglio.
Il malware comunica tramite Amazon S3 e l'API Telegram bot, confondendosi con il traffico legittimo e complicando gli sforzi di rilevamento. Utilizzando un formato di file raramente esaminato nei filtri antiphishing, la campagna bypassa facilmente le difese tradizionali.
Questo approccio riflette un modello emergente nei recenti reportage OSINT, nei blog tecnici e nelle analisi di settore, evidenziando come gli SVG vengano sempre più abusati per incorporare i malware loader e reindirizzare le vittime verso contenuti dannosi.
In particolare, l'uso da parte della campagna di esche a tema SWIFT (che fanno riferimento alla Society for Worldwide Interbank Financial Telecommunication (SWIFT), la rete globale utilizzata dalle istituzioni finanziarie per la messaggistica sicura) suggerisce un'attenzione deliberata alle vittime nel settore finanziario.
Questa attività illustra una tendenza più ampia nelle tecniche di phishing: gli aggressori stanno andando oltre il furto di credenziali e stanno diffondendo malware avanzati utilizzando vettori creativi e discreti. I difensori dovrebbero di conseguenza adattare la logica di rilevamento e la formazione dei dipendenti, riconoscendo che anche tipi di file innocui come gli SVG possono ora agire come piattaforme di consegna malware.
A differenza delle tipiche campagne di phishing che mirano al furto di credenziali tramite pagine di login falsificate, questa campagna è passata da esca a loader, trasformando quello che sembrava un file immagine nel punto di partenza per una catena di infezioni malware a più stadi.
La fase iniziale di accesso alla campagna ha coinvolto e-mail di phishing che impersonavano SWIFT Global Services, esortando i destinatari a rivedere le conferme di pagamento o di trasferimento in scadenza. Il file allegato, presentato come un documento legittimo, era in realtà un SVG modificato contenente JavaScript.
Una volta eseguito il rendering, la vittima viene indotta a scaricare un report che sembra essere un file PDF. Tuttavia, selezionando uno dei due PDF, il JavaScript salverà un file di archivio ZIP nel sistema.
Una volta estratto e sbloccato l'archivio, le vittime trovano un file chiamato Swift Transaction Report.js che contiene JavaScript offuscato. Lo script era progettato per eludere il rilevamento utilizzando tecniche di codifica di escape Unicode e concatenazione di stringhe. L'esecuzione dello script attiverà il download di un file Java Archive (JAR) fortemente offuscato, come Swift Confirmation Copy.jar e Tranzacție+în+USD-pdf.jar. Questi agivano come scaricatori di primo stadio, sfruttando offuscatori come Branchlock e Zelix KlassMaster per eludere analisi statiche e comportamentali.
IBM X-Force ha analizzato alcuni campioni SVG che rilasciavano il downloader JAR anziché il file ZIP contenente JavaScript, bypassando una fase della catena di infezione.
Se il sistema di destinazione aveva installato il Java Runtime Environment (JRE), il loader eseguiva e avviava una serie di controlli ambientali per rilevare sandbox o strumenti di analisi. Questi includono l'ispezione dei processi di sistema, l'entropia e gli indicatori di virtualizzazione. Solo dopo aver convalidato un ambiente utente reale il malware ha tentato di recuperare i payload di secondo stadio.
Per farlo, si è rivolto ai bucket Amazon S3 controllati dagli attaccanti, integrando download dannosi con traffico di cloud service altrimenti affidabili. Alcune varianti hanno incorporato i payload crittografati all'interno di file decoy dall'aspetto benigno, per ridurre ulteriormente la probabilità di rilevamento durante il trasferimento.
Una volta superati i controlli di evasione, il loader stabiliva connessioni in uscita con i bucket Amazon S3 controllati dall'attaccante per recuperare i payload del secondo stadio criptati. L'uso di un'infrastruttura basata su cloud ha aggiunto complessità agli sforzi di rilevamento, poiché il traffico verso servizi come amazonaws.com spesso si confonde con l'attività aziendale normale.
È stato osservato che i payload venivano scaricati da:
Dopo la decrittazione e lo sblocco, il malware scriveva file nelle posizioni chiave di persistenza, tra cui:
Oltre alla persistenza basata su file, alcune varianti registravano task programmate o modificavano le chiavi automatiche del registro per mantenere l'accesso durante i riavvii del sistema. Diversi esempi hanno inoltre ritardato l'esecuzione o hanno bloccato la funzionalità in base all'interazione dell'utente, complicando ulteriormente la rilevamento tramite sandbox automatico.
Il malware impiegato in questa campagna presenta un'architettura modulare, permettendo agli operatori di personalizzare le funzionalità in base all'ambiente e agli obiettivi della vittima. IBM X-Force ha osservato l'uso di payload multipli con funzionalità di sorveglianza, furto di dati e persistenza sovrapposte.
Inoltre, la campagna ha impiegato un e-mail stealer (email.js) focalizzato su Outlook eseguito tramite wscript.exe. Scansionava i profili Outlook, estraeva il contenuto della casella di posta e organizzava i dati per l'esfiltrazione tramite richieste HTTP POST basate su Telegram.
Per nascondere la sua attività, il malware rilasciava file esca dall'aspetto innocuo (ad esempio, Tranzacție+în+USD-pdf.txt, Swift Confirmation Copy.pdf) che si apriva al momento dell'esecuzione, rafforzando l'illusione di legittimità mentre i processi dannosi venivano eseguiti in background.
Oltre all'infrastruttura Amazon S3 descritta in precedenza, la campagna ha utilizzato l'API del bot di Telegram per il comando e il controllo post-compromissione (C2). Questo approccio ha permesso agli attori delle minacce di interagire con host infetti, estrarre dati sensibili ed emettere istruzioni dinamiche, in tutta l'infrastruttura di messaggistica criptata comunemente consentita negli ambienti aziendali.
Le comunicazioni C2 venivano instradate attraverso:
Questi canali sono stati utilizzati per la ricognizione del sistema, l'estrazione dei dati della casella di posta elettronica di Outlook e l'acquisizione di file da parte di moduli malware come SessionBot e e-mail.js Outlook stealer. L'uso di Telegram garantiva anonimato, crittografia e facilità operativa, complicando al contempo il rilevamento tramite il monitoraggio convenzionale della rete.
Questo modello di infrastruttura dual-channel, che combina l'hosting di payload basato su cloud con messaggi criptati, riflette una tendenza crescente tra gli attori delle minacce finanziariamente motivati a integrare traffico malevolo in servizi affidabili, prolungando il tempo di permanenza e aumentando la probabilità di successo.
X-Force ha osservato le prove di un cambiamento dall'uso di esche a tema SWIFT a un'esca a tema indagini sui crimini finanziari a partire dalla fine di aprile.
Il file SVG che utilizza questo tema ha salvato un file JAR, Case No.86-2025.jar su disco. Questo JAR è lo stesso downloader basato su Java utilizzato nella campagna a tema SWIFT. Un altro cambiamento ha incluso un RAT basato su Java, 'STRRAT', che è stato osservato scaricare insieme ai RAT SambaSpy e Blue Banana. STRRAT è noto per le sue funzionalità di furto di informazioni e la flessibilità nell'erogazione di molteplici funzioni dannose. Nonostante sia relativamente leggero, STRRAT è in grado di imitare il comportamento ransomware e di consentire il pieno controllo remoto dei sistemi infetti.
Questa campagna riflette un'evoluzione più ampia del mestiere del phishing, che va oltre la raccolta di credenziali per passare alla distribuzione modulare di malware, all'accesso a lungo termine e all'esfiltrazione dei dati. Abusando dei file SVG, un formato spesso trascurato dai filtri di sicurezza, gli attori delle minacce dimostrano la disponibilità ad utilizzare le lacune nella logica di rilevamento convenzionale.
L'uso di esche a tema SWIFT evidenzia un focus deliberato sulle istituzioni finanziarie, sfruttando familiarità e fiducia per aumentare i tassi di click. Combinato con infrastrutture basate su cloud e canali di messaggistica criptati come Telegram, gli attaccanti integrano efficacemente attività malevole nel traffico normale, riducendo la probabilità di rilevamento precoce.
Per i difensori, ciò sottolinea la necessità di rivalutare le ipotesi sui tipi di file "sicuri" e sulle infrastrutture benigne. Il phishing non è più solo un problema di e-mail: è un punto di ingresso per attacchi di intrusione sofisticati e a più stadi. Le organizzazioni devono rimanere vigili, estendendo la visibilità ai vettori non tradizionali e adattando continuamente la logica di rilevamento per adattarsi al ritmo dell'innovazione degli attaccanti.
Le organizzazioni possono ridurre la loro esposizione a campagne di questo tipo combinando visibilità degli endpoint, configurazione sicura e formazione degli utenti.
Indicatore
Tipo di indicatore
Contesto
141e8bf99ff6b58816951ed8bfd82
Hash file SHA256
Tranzacție+în+USD-pdf.jar (downloader Java)
ae345b40d165255284bf4c6ab00
Hash file SHA256
Swift Confirmation Copy.jar (downloader Java)
a4ed118f15c5c943d5964fe381f1bd
Hash file SHA256
Case No.86-2025.jar (downloader Java)
6a9f195f6fa9b298b94235b9b7dfa
Hash file SHA256
email.js (strumento per rubare le e-mail di Outlook)
8bcba87df6d459a573441fb848b9
Hash file SHA256
Copia di conferma rapida.pdf (file esca)
701435e822a78b82d53281af3ffb2
Hash file SHA256
Swift Transaction Report.js (downloader JavaScript)
f92240185abf62317800180aba0fb
Hash file SHA256
windowsdefi.jar (Blue Banana RAT)
b0dcc56ae5e90f6f2f4d05c679508
Hash file SHA256
soso.jar (SambaSpy RAT)
bc039b022d1a60cb519ae0f43f07d
Hash file SHA256
core.jar (STRRAT RAT)
6ebab76c90cb36c09119a922d385
Hash file SHA256
tg.jar (SessionBot Implant)
tcp[:]//wwce.zapto[.]org:443
Dominio
C2 per RAT SambaSpy e Blue Banana
tcp[:]//wce.zapto[.]org:443
Dominio
C2 per RAT SambaSpy e Blue Banana
str-master[.]pw
Dominio
C2 per STRRAT
api.telegram[.]org
Dominio
Esfiltrazione e comunicazione con i bot tramite Telegram API
https[:]//octupusgreat.s3.us-east-1.amazonaws[.]com
URL
Payload iniziale ospitato sul bucket Amazon S3
https[:]//seasongretting.s3.eu-west-1.amazonaws[.]com
URL
Payload ospitati su Amazon S3 bucket
https[:]//seasonmonster.s3.us-east-1.amazonaws[.]com
URL
Payload ospitati su Amazon S3 bucket
https[:]//fullpremier.s3.eu-west-1.amazonaws[.]com
URL
Payload ospitati su Amazon S3 bucket
java -jar Tranzacție+în+USD-pdf.jar
Processo
Comando di esecuzione del malware
tasklist.exe
Processo
Utilizzato dal malware per enumerare gli strumenti di analisi
wscript.exe email.js
Processo
Esegue il processo di furto di e-mail
swiftzjy1@financeplus[.]me
Indirizzo e-mail
E-mail dell'attore delle minacce
swiftkbp1@farmaciafamiliei[.]md
Indirizzo e-mail
E-mail dell'attore delle minacce
swiftkcs1@farmaciafamiliei[.]md
Indirizzo e-mail
E-mail dell'attore delle minacce
swiftotb1@financeplus[.]me
Indirizzo e-mail
E-mail dell'attore delle minacce
swiftugt1@financeplus[.]me
Indirizzo e-mail
E-mail dell'attore delle minacce
swiftvqz1@financeplus[.]me
Indirizzo e-mail
E-mail dell'attore delle minacce
swiftzjy1@financeplus[.]me
Indirizzo e-mail
E-mail dell'attore delle minacce
Swift Confirmation Copy.jar
File di archivio Java
JAR dannoso utilizzato nell'esecuzione iniziale
Swift Transaction Report.js
File JavaScript
JavaScript loader offuscato
Swift Confirmation Copy.pdf
File PDF
File PDF esca mostrato dopo l'infezione iniziale
