Shadow Vector cible la Colombie via l'élévation de privilèges et des SVG sur la justice

Autres langues disponibles : English (EU) Deutsch Español (Spain) 日本語

Auteurs : Santiago Pontiroli, Jozsef Gegeny, Ilia Dafchev

Résumé

L'Acronis Threat Research Unit (TRU) a identifié une campagne active de malwares ciblant des utilisateurs en Colombie au moyen de fichiers graphiquesvectoriels (SVG) malveillants comme cible d'infection initiale.

Les attaquants distribuaient des e-mails de spear-phishing se faisant passer pour des institutions de confiance en Colombie. Ces leurres SVG incluaient des liens vers des stagers JS / VBS hébergés sur des plates-formes publiques ou des fichiers ZIP protégés par mot de passe contenant directement les charges actives.

Les charges actives comprenaient des outils d'accès distant (RAT) tels qu'AsyncRAT et RemcosRAT, tous deux distribués au moyen de techniques de sideloading de fichiers DLL et d'élévation de privilèges basées sur des pilotes.

Les campagnes récentes s'appuient sur des charges actives obfusquées à plusieurs niveaux et incluent un chargeur .NET présentant un comportement cohérent avec celui de Katz Loader. Ce dernier intègre une fonctionnalité de contournement du contrôle de compte utilisateur (UAC), une protection contre l'analyse, l'injection de processus avec persistance, les charges actives étant parfois masquées en Base64 dans des fichiers texte ou image récupérés depuis l'Internet Archive.

Shadow Vector combine des techniques traditionnelles d'ingénierie sociale, d'abus d'infrastructures publiques et d'exécution furtive, ce qui témoigne d'un haut niveau de flexibilité opérationnelle et d'une maturité technique croissante des cybercriminels en Amérique latine.

Le malware cible à la fois les particuliers et les entreprises en vue de collecter des frappes au clavier, de voler des identifiants (y compris des informations bancaires) et d'accéder à distance aux systèmes compromis. Si sa vocation actuelle se concentre sur le vol de données sensibles et confidentielles, ses fonctionnalités laissent entrevoir des actions plus destructrices encore, comme le déploiement de ransomwares.

Introduction

L'Acronis Threat Research Unit (TRU) a identifié une campagne de diffusion de malwares baptisée Shadow Vector, qui cible activement les utilisateurs en Colombie au moyen de fichiers SVG malveillants se faisant passer pour des notifications de justice urgentes. Ces e-mails trompeurs utilisent le smuggling (SVG), une sous-technique récemment ajoutée au cadre MITRE ATT&CK.

Le trafic de fichiers SVG consiste à utiliser des fichiers graphiques vectoriels au format SVG pour masquer ou distribuer du contenu malveillant. Si la tactique n'est pas nouvelle, sa reconnaissance officielle met en lumière l'utilisation croissante de formats de fichiers flexibles et fiables dans les attaques de phishing et de diffusion de malwares modernes. Les fichiers SVG s'affichent correctement dans les navigateurs, intègrent des liens ou des scripts et contournent souvent les mécanismes traditionnels de sécurité des e-mails.

Une fois ouverts, ces fichiers SVG incitent les utilisateurs à télécharger et extraire des charges actives hébergées sur des services de partage de fichiers publics tels que Bitbucket, Dropbox, Discord et YDRAY. Ces archives téléchargées contiennent généralement un mélange de fichiers exécutables légitimes et de fichiers DLL malveillants, amorçant une chaîne d'infection en plusieurs étapes qui aboutit à l'installation d'AsyncRAT et de RemcosRAT, deux outils d'accès distant largement utilisés pour le vol de données.

Distribution – malware diffusé

Le mécanisme de diffusion de Shadow Vector reflète une opération de phishing soigneusement structurée, qui exploite l'ingénierie sociale et la confiance du public dans les institutions nationales. Les e-mails observés dans cette campagne sont conçus pour ressembler à des notifications légales légitimes et contiennent des pièces jointes SVG qui s'affichent dans le navigateur, une tactique qui permet d'éviter le filtrage des pièces jointes et d'encourager l'intervention de l'utilisateur sans éveiller les soupçons.

Le contenu des fichiers SVG est visuellement cohérent, imitant souvent les formats officiels des tribunaux avec très peu de variation. Chaque fichier comprend un résumé de l'affaire suivi d'un lien intégré, prétendant généralement donner accès à des documents juridiques supplémentaires. Ces liens redirigent les utilisateurs vers des archives hébergées sur des plates-formes de partage de fichiers publiques, telles que Bitbucket, Discord CDN et YDRAY. Cette méthode permet aux charges actives de se fondre dans le trafic légitime et de contourner les systèmes de détection basés sur la réputation.

Chaque archive est protégée par un mot de passe, qui est souvent affiché dans le fichier SVG ou fourni dans le corps de l'e-mail de phishing. Cette tactique favorise l'implication des utilisateurs et réduit l'inspection automatisée en exigeant une extraction manuelle. Une fois décompressée, l'archive contient un exécutable légitime, une DLL inoffensive mais vulnérable et une seule DLL malveillante conçue pour être parachargée, permettant ainsi au malware de s'exécuter selon un processus de confiance et d'éviter la détection.

Le Conseil supérieur de la magistrature (Consejo Superior de la Judicatura) a notamment mis en garde publiquement les fonctionnaires et les citoyens contre une activité de phishing en cours se faisant passer pour un organisme de l'appareil judiciaire. L'avis mentionnait en particulier des e-mails distribuant des pièces jointes malveillantes sous prétexte de questions de justice et recommandait de faire preuve d'une vigilance accrue face à tout message incitant à télécharger un document. Il y était également décrit les procédures à suivre pour vérifier la légitimité de ces communications et pour signaler les tentatives de phishing suspectées aux canaux institutionnels officiels.

Exemple : AsyncRAT via le sideloading de fichiers DLL

Dans cette version de la campagne Shadow Vector, la victime reçoit un e-mail de phishing contenant un fichier SVG. Elle télécharge ensuite une archive protégée par mot de passe et en extrait le contenu. Il s'y trouve un exécutable qui semble légitime et plusieurs fichiers DLL, dont l'un contient la charge active d'AsyncRAT. Pour apparaître inoffensif, l'exécutable principal s'intitule vcredist.exe ou tout autre nom comparable. Les échantillons comportent tous un fichier mscorlib.dll qui a toujours la même taille et la même structure. Malgré son nom, ce fichier n'est pas une véritable bibliothèque .NET, mais un fichier personnalisé conçu pour masquer le malware. L'attaque procède par parachargement de fichiers DLL, où l'exécutable apparemment sain charge la DLL malveillante et démarre le processus d'infection par AsyncRAT.

Chaîne d'exécution par le sideloading

L'exécutable initial est une application légitime qui invoque la fonction BrotliEncoderCreateInstance() de la bibliothèque ‘libbrotlicommon.dll’. Selon l'ordre de recherche des DLL de Windows, le système charge une version malveillante de cette DLL placée dans le même répertoire. Cette technique de parachargement de DLL permet d'exécuter un code contrôlé par l'attaquant selon un processus de confiance. Elle est systématiquement observée dans tous les échantillons analysés de la campagne.

La première action à l'intérieur de la DLL chargée est de créer une poignée pour le fichier mscorlib.dll situé dans le même répertoire et de lire son contenu. Bien que le fichier contienne un en-tête PE valide, plusieurs outils de détection l'identifient à tort comme du code non exécutable. Une inspection manuelle du fichier au format hexadécimal révèle l'insertion de 9 octets supplémentaires au début du fichier, décalant intentionnellement l'en-tête PE. Cette manipulation perturbe l'analyse automatisée et provoque des erreurs dans les outils de détection et de décompilation de PE, ce qui en fait un mécanisme anti-analyse léger.

La charge active crée ensuite un processus légitime, AddInProcess32.exe, dans un état suspendu, puis procède au vidage de processus pour injecter et exécuter le module malveillant. Cette technique consiste à allouer de la mémoire dans le processus cible et à écrire la charge active à l'aide d'une série d'appels d'API Windows, notamment : NtAllocateVirtualMemory, GetProcessHeap, RtlAllocateHeap, Wow64GetThreadContext, NtWriteVirtualMemory, Wow64SetThreadContext et NtResumeThread. Le malware peut ainsi s'exécuter comme un code système de confiance, échappant ainsi à la détection.

Juste avant l'appel NtWriteVirtualMemory, nous pouvons observer la DLL chargée en mémoire sans les 9 premiers octets, comme dans le fichier d'origine. Un nouveau thread définit ensuite son contexte et le reprend. Le programme se termine alors.

Une fois injectée dans le processus en cours d'exécution, la charge active .NET devient visible et est reconnue comme un client AsyncRAT, dérivé d'une implémentation open source en C#.

Configuration

Au démarrage de l'exécution, le malware charge sa configuration en déchiffrant plusieurs valeurs chiffrées en AES, notamment les serveurs C2, les indicateurs de programme d'installation et d'autres paramètres d'exécution. La clé AES est intégrée à l'échantillon, encodée en Base64. La configuration peut être déchiffrée à l'aide d'outils publics, tels que CyberChef selon une recette AsyncRAT connue.

Une fois tous les paramètres déchiffrés, le malware vérifie leur intégrité en comparant le hachage du certificat de serveur décodé avec la valeur attendue. Voici un exemple de configuration déchiffrée obtenue lors de l'analyse :

Paramètres

Valeur

Clé

"zZ5OP9zoIeGTxRmoYxR6XEu0yUxV6wAE"

Ports

7788

Hôtes

"asynk02[.]duckdns[.]org"

Version

"| CRACKED BY https://t[.]me/xworm_v2"

Installation

false

Mutex

"AsyncMutex_6SI8OkPnk"

PasteBin

null

Anti

false

Offline KL

false

BDOS

false

Groupe

Par défaut

Signature du serveur

"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"

Pour vérifier si la charge active malveillante est exécutable dans un environnement d'analyse, plusieurs fonctions interviennent :

Fonction

Action

Vérifier le fabricant

Récupérez le nom du fabricant et comparez-le avec « VIRTUAL », « vmware », « VirtualBox ».

Détecter un débogueur

Exécutez « CheckRemoteDebuggerPresent »

Détecter le sandboxing

Tentez d'obtenir une poignée sur la bibliothèque « SbieDll.dll »

Vérifier la taille du disque

Vérifiez si la taille du disque est inférieure à 61 000 000 000 octets

L'OS est-il XP

Vérifiez si le système actuel est Windows XP

Si l'une de ces fonctions s'avère vraie, elle appelle Environment.FailFast(), qui termine le processus.

Programme d'installation et persistance

Si le paramètre « Install » est défini sur True, une fonction établit la persistance. Le programme commence par se copier dans le nouveau chemin en utilisant la valeur du dossier de la configuration, le cas échéant, puis exécute la commande ‘schtasks’ pour définir le démarrage automatique à la connexion.

Le programme définit ensuite une clé de la base de registre pour le démarrage automatique. Le chemin d'accès de la clé est stocké au format inverse. Par exemple, en utilisant « \nuR\noisreVtenrretnuC\swodniW\tfosorciM\erawtfoS » au lieu de « Software\Microsoft\Windows\CurrentVersion\Run », une technique courante (et simple) utilisée par les malwares pour masquer ce comportement.

Enfin, un script de lot démarre la charge active à partir du nouvel emplacement et supprime l'ancienne version.

Chaque frappe de touche, chaque mouvement que vous effectuez est alors surveillé.

Après l'initialisation, la charge active lance deux threads. Le premier surveille en continu l'horodatage de la dernière action de l'utilisateur et le stocke. Le second fonctionne comme un enregistreur de frappes, établissant une accroche (hook) de fenêtre pour suivre l'activité à l'écran et enregistrer chaque frappe effectuée par l'utilisateur.

Pour la communication avec le serveur, la charge active prend en charge plusieurs méthodes de connexion, en fonction du paramétrage de Pastebin. Si ce paramètre est défini sur null, c'est le domaine spécifié dans la configuration intégrée de l'échantillon qui est utilisé. Il commence par vérifier si le nom de domaine est valide en utilisant la méthode ClientSocket.IsValidDomainName(). Si l'adresse est valide, il tente de résoudre le domaine à l'aide de Dns.GetHostAddresses() et répète l'opération sur chaque adresse IP renvoyée, en essayant d'établir une connexion via ClientSocket.TcpClient.Connect(). Si la connexion réussit (ClientSocket.TcpClient.Connected), la boucle s'interrompt. Si le domaine n'est pas valide ou si la résolution échoue, la tentative de connexion se fait directement au moyen de la chaîne d'origine et d'un port prédéfini. Cette logique assure une redondance pour garantir que le malware atteint bien son infrastructure de commande et de contrôle.

Une fois la connexion établie, le malware transmet les informations concernant la victime, y compris les informations système et les métadonnées concernant l'échantillon exécuté.

De plus, le malware vérifie la présence de portefeuilles de cryptomonnaie et d'extensions spécifiques de navigateur en inspectant les dossiers désignés. Si des éléments sont trouvés, la valeur correspondante devient « true ». Voici la liste des identifiants utilisés :

Meta_Firefox, Meta_Chrome, Meta_Brave, Meta_Edge, Meta_Opera, Meta_OperaGX, Phantom_Chrome, Phantom_Brave, Binance_Chrome, Binance_Edge, TronLinkChrome, Exodus_Chrome, BitKeep_Chrome, CoinBase_Chrome, Ronin_Chrome, Trust_Chrome, BitPay_Chrome, F2a_Chrome, F2a_Brave, F2a_Edge, Ergo_Wallet, Ledger_Live, Atomic, Exodus, Electum, Coinomi, Binance, Bitcoin_Core

Le client reçoit les données du serveur dans un format codé. Le contenu est d'abord décompressé à l'aide de la fonction Zip.Decompress(), puis le message est décodé. Après avoir lu un octet du message, le programme le compare à des valeurs prédéfinies. En fonction du résultat, il effectue diverses opérations, telles que permutation des octets et conversion des données en types de données spécifiques.

Lorsqu'une commande est reçue du serveur, la charge active l'extrait du paquet, calcule son hachage et le compare aux valeurs stockées. Chaque commande est également comparée directement à l'ensemble prédéfini de commandes valides :

getscreen, uacoff, killps, ResetHosts, weburl, Chrome, plugin, ResetScale, passload, Wallets, savePlugin, Fox, pong, DiscordTokens, setxt, WDExclusion, KillProxy, Net35, klget, Avast, Block, WebBrowserPass, gettxt, anydesk, backproxy

Une fois la commande appropriée identifiée, la charge active appelle la fonction Plugins(), qui déclenche une procédure spécifique en fonction du paramètre fourni.

Ces plug-ins représentent les composants fonctionnels de chaque commande. Par défaut, tous les plug-ins ne sont pas inclus dans la charge active initiale. Ils peuvent être téléchargés à partir du serveur lors de la réception des commandes « plugin » ou « savePlugin ». La liste suivante reprend les commandes et les actions correspondantes incluses dans la charge active :

Commande

Action

killps

Arrêter le processus

ResetHosts

Effacer le fichier « \\hosts.backup »

weburl

Ouvrir l'URL fournie à l'aide de la méthode « Process.Start ».

plugin

Télécharger et invoquer le plug-in de la charge active

ResetScale

Utiliser la commande SPI SETLOGICALDPIOVERRIDE pour modifier la scalabilité

pong

Modifier l'intervalle entre les communications client-serveur

klget

Obtenir le journal du keylogger

Block

Modifier le fichier « \\hosts » pour bloquer une adresse IP particulière

gettxt

Obtenir les données du presse-papiers

Signé et livré : exploitation de pilotes vulnérables et parachargement de fichiers DLL

Cette fois, l'archive ZIP contient un exécutable leurre et deux DLL, l'une légitime et l'autre malveillante. L'exécutable charge le fichier légitime « CiscoSparkLauncher.dll », qui déclenche à son tour le décodage du fichier DLL malveillant et le déploiement de trois fichiers dans le répertoire ‘%Temp%’ : deux pilotes vulnérables utilisés pour l'élévation de privilèges au niveau du noyau, ainsi que la charge active finale de RemcosRAT.

L'exécutable initial appelle une fonction de « CiscoSparkLauncher.dll », un fichier légitime qui, à son tour, invoque GetFileVersionInfoSizeW() depuis « VERSION.dll ». Dans ce cas, « VERSION.dll » est une DLL malveillante, indiquant un parachargement de DLL classique. La DLL malveillante utilise une obfuscation du flux de contrôle de ses fonctions, en utilisant des boucles et des vérifications conditionnelles pour ralentir l'analyse.

Un nouveau bloc mémoire de 5982208 octets est alloué et copie les données de la section ‘.rdata’. La taille de cette section est de 5 989 888 octets or, lors de la copie, les 7 680 premiers octets sont ignorés. Seules les données codées seront copiées de cette section. La DLL commence ensuite à résoudre plusieurs adresses d'API Windows à partir des bibliothèques 'kernel32.dll', 'ADVAPI32.dll' et 'ole32.dll'.

Les données de la section « .rdata » qui ont été copiées sont ensuite transmises à la fonction de décodage. Une clé est alors créée à partir de deux valeurs de 16 octets, puis la section est décodée à l'aide de l'opération XOR.

Lors de l'exécution, des données supplémentaires seront décodées de la même manière, mais en utilisant une autre clé :

Les données décodées incluent un code supplémentaire qui est exécuté après le déchiffrement. Ce code commence par vérifier la présence d'une machine virtuelle en inspectant le nom du système à la recherche d'indicateurs tels que « vmware » ou « virtualbox », puis en évaluant la mémoire disponible, le nombre de processeurs et la résolution de l'écran. Si l'une de ces conditions suggère la présence d'un environnement de virtualisation, le programme arrête son exécution.

Le code se copie avec les fichiers « CiscoSparkLauncher.dll » et « VERSION.dll » dans le dossier ‘%Temp’ et exécute la commande suivante pour établir la persistance :

C:\Windows\system32\cmd.exe /c schtasks /create /tn "Yt4Bvc2G" /tr "C:\Users\DEV\AppData\Roaming\DEMANDA LABORAL JUDICIAL 2313154.exe" /sc onlogon /rl highest /f

Pour contourner les logiciels anti-malware, il vérifie la présence des chemins d'accès des dossiers, puis utilise les fonctions CreateToolHelp32Snapshoot, Process32First et Process32Next pour lister tous les processus en cours d'exécution et terminer ceux qui correspondent à la liste enregistrée des noms de processus :

AnhRpt, Ahnsd, v3sp, mupdate2, autop, ArtHost, ASDSvc, v3lite4, v314sp, V3Light, V3Medic, V3SVC, AhnLabPolicyAgent, eausvc, AYUpdate.aye, ALYac.aye, AYAgent.aye, AYUpdSrv.aye, AYWSSrv.aye, AYTRSrv.aye, ALMountService, eOppFrame, egui, eguiProxy, efwd, ekrn, mc-fwhost, mc-web-view, mcupdate, mfwc, updaterui, mfeann, mcuicnt, mfevtps, mfetp, mfemms, McShield, AvEmUpdate, icarus_ui, overseer, AVGUI, aswidsagent, afwServ, avgToolsSvc, aswEngSrv, AVGSvc, wsc_proxy, overseer, wa_3d_party_host_64, su_worker, wa_3d_party_host_32, AvastBrowserUpdate, AvBugReport, AvastBrowserProtect, icarus_ui, icarus, AvastUI, aswidagent, afwServ, aswToolSvc, aswEngSrv, AvastSvc, wsc_proxy, MpCmdRun, NisSrv, MsMpEng, smartscreen, MpDefenderCoreService, HipsMain, wsctrlsvc, HipsTray, TrafficPort, HipsDaemon, 360UHelper, 360speedld, safesvr, SoftMgr, LiveUpdate360, inst, 360Safe, 360leakFixer, 360Tray, ZhuDongFangYu, PopTip, 360TsLiveUpd, certuril, PromoUtil, PopWndLog, QHSafeTray, QHWatchdog, QHActiveDefense, QHSafeMain, HipsMain, wsctrlsvc, HipsTray, TrafficPort, HipsDaemon

Il lit ensuite des données supplémentaires dans la section « .rdata », les décode, puis écrit trois fichiers dans le dossier ‘%Temp’ :

Nom du fichier

Description

VFZE6ksYnpPfSnEWUNg.sys

Pilote WiseCleaner vulnérable

cuDX73ob9SxeAS0IdV.sys

Pilote Zemana vulnérable

svchost.exe

RemcosRAT

Les deux pilotes vulnérables sont lancés en tant que services en mode noyau. L'échantillon utilise ensuite la fonction DeviceIoControl() avec le code de contrôle 0x80002010 pour enregistrer le processus svchost.exe déposé comme authentique, puis il se termine.

La charge active analysée stocke sa configuration sous forme de ressource chiffrée. Le premier octet indique la taille de la clé, suivi de la clé de chiffrement RC4. Les données restantes contiennent la configuration chiffrée.

La configuration déchiffrée révèle plusieurs paramètres opérationnels utilisés par le malware, notamment l'adresse et le port du serveur de commande et de contrôle (C2), le nom du botnet, la taille maximale des fichiers journaux du keylogger, le nom du fichier binaire et le nom du mutex. Elle spécifie également l'intervalle de captation des captures d'écran en secondes, les noms des dossiers désignés pour stocker les captures d'écran et les enregistrements audio, ainsi qu'un numéro de licence, probablement utilisé pour suivre les déploiements ou l'utilisation par les affiliés.

Maintien de l'obfuscation

Au moment où nous écrivons ces lignes, un nouveau chapitre de la campagne Shadow Vector est en train de s'écrire, par-delà les techniques de dissimulation des fichiers SVG déjà documentées. Cette fois-ci, l'attaquant adopte une approche modulaire, en déployant un chargeur associé à Katz Stealer. La chaîne d'infection commence toujours par des leurres SVG soigneusement conçus, mais elle inclut désormais des chargeurs JavaScript et PowerShell, une technique de contournement de l'UAC via cmstp.exe, ainsi qu'une DLL de chargeur .NET dynamique dotée de fonctionnalités anti-analyse, d'injection de processus et, en option, de mécanismes de persistance.

La dernière activité connue de Shadow Vector utilise plusieurs référentiels Bitbucket pour héberger des chargeurs malveillants JavaScript et VBS. L'un de ces référentiels, « notificaciones-judiciales2025-2005 », a à son actif plus de 170 téléchargements combinés de ses charges actives réaffectées en quelques heures seulement après leur transfert, le 28 mai 2025. Ce volume d'activité laisse penser qu'une campagne de phishing coordonnée était probablement en cours à cette période. Parmi les alias de transfert observés, « TheMrHacker » se distingue par rapport à l'utilisation habituelle du label générique « Envio » (qui signifie « envoi » en espagnol), ce qui pourrait potentiellement fournir une piste sur l'identité de l'opérateur.

La chaîne d'infection commence par un fichier JavaScript imitant un avis juridique, nommé « 001-Notificacion_electronica_demanda_judicial_Departamento_Juridico.js », qui agit comme dropper initial. À l'exécution, il récupère un script de deuxième phase sur Paste.ee.

Ce script d'obfuscation lance une commande PowerShell configurée pour s'exécuter en silence (avec les paramètres -nop -w hidden) à l'aide de la commande Invoke-Expression, qui peut dès lors récupérer du contenu encodé supplémentaire à partir de deux terminaux Paste.ee (tous deux avec le même hachage SHA256).

Lors de la phase finale, le script télécharge une DLL codée en Base64 à partir de l'Internet Archive, généralement dissimulée dans un fichier texte hébergé à l'adresse archive[.]org/replace_202505/REPLACE[.]txt. Dans certains cas, il récupère un fichier image contenant une charge active Base64 intégrée et dissimulée dans le contenu de l'image. Le script extrait et décode la charge active, puis charge la DLL en mémoire directement à l'aide de la méthode [Reflection.Assembly]::Load() de PowerShell.

La chaîne d'infection en plusieurs étapes délivre une DLL .NET qui charge et exécute dynamiquement la méthode dnlib.IO.Home.VAI(), un comportement comparable à ceux des échantillons Katz Loader connus. Bien que le chargeur corresponde à plusieurs signatures YARA liées à Katz Stealer, ici il ne déploie pas le programme de vol de données. Au lieu de cela, il récupère la charge active finale à l'exécution et l'active entièrement en mémoire, sans laisser aucune trace sur le disque. Le chargeur implémente des fonctionnalités avancées, telles que des vérifications anti-débogage et anti-altération, une option de contournement de l'UAC (User Account Control) à l'aide de cmstp.exe, ainsi que le déchiffrement de chaînes à partir d'un bloc de ressources chiffré. Il utilise le vidage de processus pour injecter du code dans des binaires légitimes et maintient sa persistance via des tâches planifiées et des modifications de registre. Il permet également de configurer les contrôles anti-machines virtuelles à l'exécution.

Plusieurs chaînes de caractères intégrées au code du chargeur sont rédigées en portugais, notamment les messages « Baixar e executar o PuTTY a cada 1 minuto indefinidamente » (« Télécharger et exécuter PuTTY toutes les minutes indéfiniment »), « Extensão não suportada » (« Extension non prise en charge »), « Recurso 'UAC.dll' não encontrado! » (« Ressource 'UAC.dll' non trouvée ! ») et « Erro ao executar a DLL em memória » (« Erreur d'exécution de la DLL en mémoire »). Ces messages, combinés aux noms de paramètres utilisés dans la méthode VAI (par exemple, « caminhovbs », « persitencia », « extenção », « nomedoarquivo »), laissent penser que le chargeur partage des aspects de conception ou du code avec des outils développés par des cybercriminels de langue portugaise, notamment ceux impliqués dans les campagnes de malwares à motivation financière ciblant le Brésil.

Conclusions

Évolution naturelle des techniques originelles de dissimulation SVG, ce groupe de menaces a adopté un chargeur modulaire résident en mémoire, capable d'exécuter de manière dynamique des charges actives entièrement en mémoire, laissant ainsi un minimum de traces. Ce chargeur est distribué via une chaîne d'infection en plusieurs étapes qui repose sur des plates-formes d'hébergement publiques, ce qui complique les efforts de traçage et de neutralisation.

La présence dans le chargeur de chaînes de caractères et de paramètres de méthode en portugais reflète les TTP couramment observées dans les malwares bancaires brésiliens, ce qui laisse penser à l'éventuel réemploi de code, à des ressources de développement partagées ou même à une collaboration entre acteurs de régions différentes.

La poursuite de la campagne en Amérique latine, l'usurpation d'identité institutionnelle et son déploiement rapide et évolutif indiquent une menace persistante et progressive.

Détecté par Acronis

RemcosRAT

Indicateurs de compromission

YARA

rule crimeware_shadow_vector_svg

{

meta:

description = "Detects malicious SVG files associated with Shadow

Vector's Colombian campaign"

author = "Acronis TRU"

date = "2025-06-06"

file_type = "SVG"

malware_family = "Shadow Vector"

threat_category = "Crimeware / Malicious Image / Embedded Payload"

tlp = "TLP:CLEAR"

strings:

$svg_tag1 = "<?xml" ascii

$svg_tag2 = "<svg" ascii

$svg_tag3 = "<!DOCTYPE svg" ascii

$svg_tag4 = "http://www.w3.org/2000/svg" ascii

//used by Shadow Vector (possibly generated in batch)

$judicial = "juzgado" ascii nocase

$judicial_1 = "citacion" ascii nocase

$judicial_2 = "judicial" ascii nocase

$judicial_3 = "despacho" ascii nocase

$generado = "Generado" ascii nocase

condition:

filesize < 3MB and

3 of ($svg_tag*) and

(1 of ($judicial*) and $generado)

}

Références

MuchoHacker. “Correos de hospital y Rama Judicial en Colombia son usados para enviar correos falsos con archivos SVG que podrían contener malware” (« Les adresses e-mail de l'hôpital et de l'appareil judiciaire Rama en Colombie sont utilisées pour envoyer de faux e-mails contenant des fichiers SVG qui pourraient être infectés par un malware »). Le 31 octobre 2024.

https://muchohacker.lol/2024/10/correos-de-hospital-y-rama-judicial-en-colombia-son-usados-para-enviar-correos-falsos-con-archivos-svg-que-podrian-contener-malware

SciLabs. “Red Akodon: A new threat actor distributing RAT to Colombia”. (« Red Akodon : un nouveau groupe distribue un cheval de Troie RAT en Colombie. ») Le 27 mai 2024.

https://blog.scilabs.mx/en/2024/05/27/red-akodon-a-new-threat-actor-distributing-rat-to-colombia

Environnements

Infrastructures

Terminaux

Terminaux mobiles

Applications

Comparer Acronis

Shadow Vector cible la Colombie via l'élévation de privilèges et des SVG sur la justice

Résumé

Introduction

Distribution – malware diffusé

Exemple : AsyncRAT via le sideloading de fichiers DLL

Chaîne d'exécution par le sideloading

Configuration

Programme d'installation et persistance

Chaque frappe de touche, chaque mouvement que vous effectuez est alors surveillé.

Signé et livré : exploitation de pilotes vulnérables et parachargement de fichiers DLL

Maintien de l'obfuscation

Conclusions

Détecté par Acronis

RemcosRAT

Indicateurs de compromission

SVG

Packages

Charges actives

YARA

Références