VirusTotal Ungkap Kampanye Phishing Tersembunyi di File SVG

VirusTotal menemukan kampanye phishing baru yang memanfaatkan file SVG untuk menyebarkan malware dengan menyamar sebagai portal resmi sistem peradilan Kolombia. Temuan ini terjadi setelah platform analisis tersebut menambahkan dukungan SVG pada fitur AI Code Insight.

Bagaimana Serangan Bekerja

• File SVG yang diunggah awalnya lolos dari deteksi antivirus tradisional.
• Dengan memanfaatkan elemen <foreignObject>, file SVG mampu menampilkan HTML serta mengeksekusi JavaScript ketika gambar dimuat.
• Hasilnya, SVG tersebut menampilkan portal palsu mirip situs resmi pemerintah, lengkap dengan nomor kasus, token keamanan, dan elemen visual untuk meyakinkan korban.

Portal palsu ini menampilkan progress bar unduhan dokumen dan akhirnya meminta pengguna mengunduh arsip ZIP berpassword. Kata sandi untuk membuka file tersebut ditampilkan langsung di laman palsu.

Isi File Berbahaya

Setelah diekstraksi, arsip berisi:

• Executable sah dari Comodo Dragon (browser) yang diubah namanya agar tampak seperti dokumen resmi.
• DLL berbahaya yang disiapkan untuk melakukan DLL sideloading.
• Dua file terenkripsi tambahan.

Jika pengguna membuka executable tersebut, DLL berbahaya otomatis dijalankan untuk memasang malware lebih lanjut di sistem.

Skala Kampanye

• Dari satu file awal, VirusTotal kemudian menemukan 523 file SVG lain yang ternyata bagian dari kampanye yang sama.
• Semua file ini sebelumnya tidak terdeteksi oleh software keamanan tradisional.

Peran AI Code Insight

Fitur AI Code Insight dari VirusTotal menganalisis perilaku kode dalam file dan memberikan ringkasan konteks. Dalam kasus ini, dukungan terhadap SVG terbukti krusial untuk mengungkap kampanye phishing yang canggih.

“Code Insight membantu memberi konteks, menghemat waktu, dan fokus pada hal yang benar-benar penting. Bukan pengganti analisis pakar, tapi alat tambahan untuk mempercepat deteksi,” jelas VirusTotal.

Kesimpulan

Penggunaan SVG dalam serangan siber semakin meningkat karena fleksibilitas format ini. Kasus “s1ngularity” di ekosistem NPM sebelumnya menyoroti peran AI dalam serangan, sedangkan kali ini AI justru menjadi kunci untuk mengidentifikasi kampanye tersembunyi.

Sumber: VirusTotal, BleepingComputer