VirusTotal发现44个未检测到的SVG文件，用于部署Base64-Encoded的网络钓鱼页面

网络安全研究人员标记了一种新的恶意软件活动，该活动利用可缩放矢量图形 (SVG) 文件作为假冒哥伦比亚司法系统的网络钓鱼攻击的一部分。

SVG文件，根据VirusTotal,通过电子邮件分发，并设计为执行嵌入式JavaScript有效载荷，然后该有效载荷解码并注入伪装成fiscal í a General de laci ó n门户的Base64-encoded HTML网络钓鱼页面，哥伦比亚总检察长办公室。

然后，该页面使用虚假的进度条模拟官方政府文件下载过程，同时在后台秘密触发ZIP存档的下载。没有透露ZIP文件的确切性质。

谷歌拥有的恶意软件扫描服务表示，它发现了44个独特的SVG文件，由于使用了混淆、多态性、和大量的垃圾代码来逃避静态检测方法。

在野外，已经检测到多达523个SVG文件，最早的样本可以追溯到2025年8月14日。

“更深入地看，我们看到最早的样本更大，大约25 mb，并且大小随着时间的推移而减小，这表明攻击者正在发展他们的有效载荷，” VirusTotal说。

披露是在合法软件的破解版本和ClickFix风格的策略被用来诱使用户使用名为Atomic macOS stealer的信息窃取器感染其Apple macOS系统 (阿莫斯)，使企业面临凭证填充、金融盗窃和其他后续攻击。

“AMOS专为广泛的数据盗窃而设计，能够窃取凭据，浏览器数据，加密货币钱包，电报聊天，VPN配置文件，钥匙串项目，Apple Notes和常见文件夹中的文件，" 趋势科技说。“AMOS表明macOS不再是外围目标。随着macOS设备在企业环境中的发展，它们已成为攻击者更具吸引力和利润丰厚的焦点。

攻击链基本上涉及针对在haxmac等网站上寻找破解软件的用户 [。] cc，将它们重定向到虚假的下载链接，这些链接提供安装说明，旨在诱骗它们在终端应用程序上运行恶意命令，从而触发AMOS的部署。

值得注意的是，苹果阻止安装.由于macOS的Gatekeeper保护，dmg文件缺乏适当的公证，这要求应用程序包由识别的开发人员签名并由Apple公证。

随着macOS Sequoia的发布，尝试安装恶意或未签名的.dmg文件，例如AMOS活动中使用的文件，默认情况下会被阻止，”该公司补充说。“虽然这并不能完全消除风险，特别是对于那些可能绕过内置保护的用户，但它增加了成功感染的障碍，并迫使攻击者调整其交付方式。

这就是为什么威胁行为者越来越多地依靠ClickFix的原因，因为它允许通过软件下载页面中指定的curl命令使用终端将stealer安装在计算机上。

虽然macOS Sequoia的增强型Gatekeeper保护成功阻止了传统的。基于dmg的感染，威胁参与者迅速转向基于终端的安装方法，事实证明，这种方法在绕过安全控制方面更有效，“趋势科技说。这一转变凸显了深度防御策略的重要性，这些策略不仅仅依赖于内置的操作系统保护。

这一发展还发生在发现了一场 “庞大的网络运动” 之后，该运动针对的是寻找作弊行为的游戏玩家。StealC偷窃和加密盗窃恶意软件，净威胁演员超过135，000美元。

按CyberArk,该活动值得注意的是利用StealC的加载器功能下载额外的有效载荷，在这种情况下，是一种加密货币窃取器，可以从受感染机器上的用户那里窃取数字资产。