Một chiến dịch mã độc tinh vi mang tên Shadow Vector vừa được nhóm Acronis Threat Research Unit phát hiện, nhắm mục tiêu đến người dùng và tổ chức tại Colombia thông qua các tệp SVG – định dạng đồ họa vốn được xem là an toàn trong môi trường web. Khác với các hình thức phát tán truyền thống, chiến dịch này khai thác kỹ thuật “smuggling” để nhúng mã độc hoặc đường dẫn nguy hiểm vào bên trong file SVG mà không làm thay đổi cách hiển thị bên ngoài.
Chiến dịch bắt đầu bằng các email giả mạo cơ quan tư pháp, đính kèm file SVG ngụy trang thành thông báo pháp lý. Khi người dùng mở file, họ bị chuyển hướng đến các nền tảng lưu trữ công cộng như Dropbox hay Discord CDN để tải về các tập tin ZIP được mã hóa bằng mật khẩu. Trong những tập tin này thường chứa một chương trình có vẻ hợp pháp cùng với các thư viện DLL, trong đó có ít nhất một tệp chứa mã độc được thiết kế để khai thác kỹ thuật DLL sideloading – cho phép kẻ tấn công thực thi mã trong khi vẫn qua mặt được hệ điều hành.
Sau khi được kích hoạt, mã độc sẽ tiêm payload của các phần mềm điều khiển từ xa như AsyncRAT hoặc RemcosRAT vào bộ nhớ hệ thống. Đặc biệt, RemcosRAT còn tận dụng lỗ hổng trong các trình điều khiển hệ thống như Zemana hoặc WiseCleaner để leo thang đặc quyền lên cấp kernel, qua đó đạt toàn quyền điều khiển thiết bị. Các cơ chế duy trì hiện diện, chống phân tích, và kiểm tra môi trường ảo hóa được tích hợp nhằm đảm bảo mã độc hoạt động lặng lẽ và hiệu quả.
Điểm đáng chú ý là chiến dịch Shadow Vector còn sử dụng các loader mã hóa có khả năng ẩn payload dưới dạng văn bản Base64 trong ảnh hoặc tài liệu lưu trữ công khai. Điều này giúp giảm thiểu dấu vết để lại trên thiết bị, đồng thời né tránh được sự phát hiện của nhiều phần mềm bảo mật truyền thống.
AsyncRAT và RemcosRAT cung cấp khả năng giám sát toàn diện: từ ghi phím, đánh cắp dữ liệu đăng nhập, truy xuất ví tiền mã hóa đến điều khiển từ xa và chạy plugin từ máy chủ điều khiển. Hệ thống C2 của chiến dịch được thiết kế linh hoạt, có cơ chế chuyển hướng để đảm bảo duy trì liên lạc kể cả khi bị phát hiện hoặc chặn truy cập.
Việc khai thác định dạng SVG như một kênh lây nhiễm mới, kết hợp với kỹ thuật lẩn tránh và leo thang đặc quyền tiên tiến, cho thấy nhu cầu cấp thiết của các tổ chức trong việc nâng cao năng lực phát hiện hành vi bất thường, củng cố hệ thống phòng thủ và cảnh giác cao độ trước mọi file đính kèm tưởng chừng vô hại.
