Shadow Vector attackerar Columbia-användare med falska brådskande juridiska meddelanden

Andra tillgängliga språk:English Deutsch Español Français 日本語 Português

Författare: Santiago Pontiroli, Jozsef Gegeny, Ilia Dafchev

Sammanfattning

Acronis Threat Research Unit (TRU) har identifierat en aktiv skadlig programkampanj som riktar sig mot användare i Colombia med hjälp av skadlig skalbar vektorgrafik-filer(SVG) som den initiala infektionsvektorn.

Angripare spred riktade nätfiskemejl som utgav sig för att komma från betrodda institutioner i Colombia. Dessa mejl innehöll SVG-beten med inbäddade länkar till JS- eller VBS-stagers som var hostade på offentliga plattformar, eller lösenordsskyddade ZIP-filer som innehöll payloaden direkt.

Nyttolasten inkluderade fjärråtkomstverktyg (RAT) som AsyncRAT och RemcosRAT som båda levererades genom DLL-sidoladdning och drivrutinsbaserade tekniker för privilegieeskalering.

Nya kampanjer bygger på flerstegs- och fördolda payloads och inkluderar en .NET-loader vars beteende överensstämmer med Katz Loader. Den har funktioner för UAC-bypass, anti-analys, processinjektion och persistens, där payloads ibland är dolda som Base64 i text- eller bildfiler som hämtas från Internet Archive.

Shadow Vector blandar traditionell social ingenjörskonst, missbruk av offentlig infrastruktur och smygande exekveringstekniker, vilket återspeglar en hög nivå av operativ flexibilitet och en utvecklad teknisk mognad hos regionala hotaktörer i Latinamerika.

Det aktuella hotet riktar sig mot både privatpersoner och organisationer och möjliggör keylogging, stöld av autentiseringsuppgifter (inklusive bankuppgifter) och fullständig fjärråtkomst till komprometterade system. Även om den nuvarande användningen är inriktad på att stjäla känslig och konfidentiell data, tyder dess kapacitet på att den kan utvidgas till mer destruktiva åtgärder, t.ex. ransomware.

Introduktion

Acronis Threat Research Unit (TRU) har identifierat en pågående malware-kampanj med namnet Shadow Vector, som aktivt riktar sig mot användare i Colombia genom skadliga SVG-filer som utger sig för att vara brådskande domstolsmeddelanden. Dessa vilseledande mejl använder SVG smuggling, en ny subteknik i MITRE ATT&CK-ramverket.

SVG-smuggling innebär att man missbrukar skalbara vektorgrafikfiler för att dölja eller leverera skadligt innehåll. Det är visserligen ingen ny taktik, men att den nu uppmärksammas visar hur allt fler utnyttjar pålitliga men flexibla filformat i dagens phishing- och skadeprogramkampanjer. SVG-filer renderas snyggt i webbläsare, stöder inbäddade länkar eller skript och kringgår ofta traditionella säkerhetskontroller för e-post.

När SVG-filerna har öppnats leder de användarna till att ladda ner och extrahera payloads som finns på offentliga fildelningstjänster som Bitbucket, Dropbox, Discord och YDRAY. De nedladdade arkiven innehåller vanligtvis en kombination av legitima körbara filer och skadliga DLL:er, vilket initierar en flerstegsinfektionskedja som slutligen levererar AsyncRAT och RemcosRAT – två fjärråtkomstverktyg som ofta används för datastöld.

Leverans – malware serverad

Shadow Vectors leveransmetod speglar en välplanerad nätfiskeoperation som drar nytta av social ingenjörskonst och allmänhetens tillit till nationella institutioner. Mejl som observerats i denna kampanj är utformade för att se ut som legitima juridiska meddelanden och innehåller SVG-bilagor som återges direkt i webbläsaren – en taktik som hjälper till att kringgå filter för bilagor och uppmuntrar användarinteraktion utan att väcka misstankar.

Innehållet i SVG-filerna är visuellt konsistent och efterliknar ofta officiella domstolsformat med minimal variation. Varje fil innehåller en sammanfattning av ärendet följt av en inbäddad länk, vanligtvis märkt som tillgänglighet till ytterligare juridisk dokumentation. Dessa länkar omdirigerar användare till arkiv som är hostade på offentliga fildelningsplattformar som Bitbucket, Discord CDN och YDRAY – en metod som gör det möjligt för payloads att smälta in i legitim trafik och kringgå enkla detektionssystem baserade på rykte.

Varje arkiv är skyddat med ett lösenord, som ofta visas i SVG-filen eller anges i brödtexten i nätfiskemejlet. Denna taktik ökar användarens engagemang och minskar den automatiserade inspektionen genom att kräva manuell extrahering. När arkivet har packats upp innehåller det en legitim körbar fil, en godartad men sårbar DLL-fil och en enda skadlig DLL-fil som är utformad för sidoladdning, vilket gör att skadlig programvara kan köras i en betrodd process och undgå upptäckt.

I synnerhet utfärdade det högre domstolsrådet (spanska: Consejo Superior de la Judicatura) en offentlig rådgivning som varnade anställda inom rättsväsendet och medborgare för pågående phishing-aktiviteter som missbrukar rättsväsendets varumärke. Rådgivningen pekade särskilt på mejl som sprider skadliga bilagor under sken av domstolsrelaterade ärenden och uppmanade till större försiktighet vid hantering av meddelanden som uppmanar till dokumentnedladdning. Den redogjorde också för metoder för att kontrollera äktheten i sådan kommunikation och uppmuntrade rapportering av misstänkt nätfiske till officiella institutionella kanaler.

Ärendefil: AsyncRAT via DLL-sidoladdning

I denna version av Shadow Vector-kampanjen får offret ett nätfiskemejl med en SVG-fil. Därifrån laddar de ner ett lösenordsskyddat arkiv och extraherar dess innehåll. Inuti finns det en körbar fil som ser legitim ut och flera DLL-filer, varav en bär AsyncRAT-nyttolasten. Den huvudsakliga körbara filen använder ofta namn som vcredist.exe för att verka ofarlig. Ett vanligt tecken i dessa prover är förekomsten av en mscorlib.dll-fil som alltid har samma storlek och struktur. Trots namnet är den här filen inte ett riktigt .NET-bibliotek utan en specialbyggd fil som används för att dölja den skadlig programvaran. Attacken använder DLL-sideloading, där det till synes legitima körbara programmet laddar den skadliga DLL-filen och startar AsyncRAT-infektionen.

Sideloaded exekveringskedja

Den första körbara filen är en legitim applikation som anropar funktionen BrotliEncoderCreateInstance() från biblioteket ”libbrotlicommon.dll”. På grund av Windows DLL-sökordning laddar systemet en skadlig version av denna DLL som finns i samma katalog. Denna teknik för sidoladdning av DLL:er gör det möjligt att köra angriparstyrd kod inom en betrodd process och observeras konsistent i alla analyserade prover i kampanjen.

I den inlästa DLL:en är den första åtgärden att skapa ett handtag till filen mscorlib.dll som finns på samma plats och läsa dess innehåll. Även om filen innehåller en giltig PE-huvud, identifierar flera detekteringsverktyg den felaktigt som en icke-exekverbar binär fil. En manuell HEX-inspektion visade att ytterligare 9 byte infogats i början av filen, vilket avsiktligt förskjuter PE-headern. Denna manipulation stör automatisk parsing och orsakar fel i verktyg för PE-detektering och dekompilering, vilket i praktiken fungerar som en lättviktig anti-analysmekanism.

Payloaden skapar därefter en legitim process, AddInProcess32.exe, i ett pausat tillstånd och genomför process hollowing för att injicera och köra den skadliga modulen. Denna teknik innebär att man allokerar minne i målprocessen och skriver nyttolasten med hjälp av en serie Windows API-anrop, inklusive: NtAllocateVirtualMemory, GetProcessHeap, RtlAllocateHeap, Wow64GetThreadContext, NtWriteVirtualMemory, Wow64SetThreadContext och NtResumeThread. Detta gör att skadeprogrammet kan köras i kontexten av en betrodd systemfil och därmed undgå upptäckt.

Strax före anropet ”NtWriteVirtualMemory” kan vi se den inlästa DLL:en i minnet utan de första 9 byte, precis som i originalfilen. Sedan skapas en ny tråd, dess sammanhang fastställs och den återupptas inom IT. Därefter avslutas det aktuella programmet.

Efter att ha injicerats i den process som körs blir den faktiska .NET-nyttolasten synlig och känns igen som en AsyncRAT-klient, som härrör från en C#-implementering med Open Source.

Konfiguration

Vid start av körningen laddar skadeprogrammet sin konfiguration genom att dekryptera flera AES-krypterade värden, inklusive C2-servrar, installationsflaggor och andra inställningar för körning. AES-nyckeln är inbäddad i exemplet, Base64-kodad. Konfigurationen kan dekrypteras med hjälp av publika verktyg som CyberChef med ett känt AsyncRAT-recept.

När alla inställningar har dekrypterats kontrollerar skadlig programvara deras integritet genom att jämföra kondensatet i det avkodade servercertifikatet med det förväntade värdet. Nedan visas ett exempel på en dekrypterad konfiguration som erhållits under analysen:

Inställning

Värde

Nyckel

"zZ5OP9zoIeGTxRmoYxR6XEu0yUxV6wAE"

Portar

7788

Värdar

"asynk02[.]duckdns[.]org"

Version

"| CRACKED BY https://t[.]me/xworm_v2"

Installera

false

Mutex

"AsyncMutex_6SI8OkPnk"

PasteBin

null

Anti

false

Offline KL

false

BDOS

false

Grupp

Standard

Serversignatur

"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"

För att kontrollera om den skadliga payloaden körs i en analysmiljö utför den flera funktioner:

Funktion

Åtgärd

Kontrollera tillverkaren

Hämta tillverkarens namn och jämför det med: ”VIRTUAL”, ”vmware”, ”VirtualBox”

Detektera felsökare

Kör “CheckRemoteDebuggerPresent”

Upptäck sandlåda

Försök att hämta ett handtag till biblioteket ”SbieDll.dll”

Kontrollera disken storlek

Kontrollera om diskstorleken är mindre än 61000000000 byte

Är XP

Kontrollera om det aktuella systemet är Windows XP

Om någon av dessa funktioner returnerar true anropas Environment.FailFast(), vilket avslutar processen omedelbart.

Installation och persistens

När inställningen ’Install’ är true kommer den att gå in i en funktion som etablerar persistens. Först kopierar den sig själv till den nya sökvägen med hjälp av mappvärdet från konfigurationen, om det finns, och kör sedan kommandot ”schtasks” för att aktivera AutoStart vid inloggning.

Sedan ställer den in en AutoStart-registernyckel. Sökvägen till nyckeln lagras i omvänt format. Till exempel genom att använda ”\nuR\noisreVtenrretnuC\swodniW\tfosorciM\erawtfoS” i stället för ”Software\Microsoft\Windows\CurrentVersion\Run” – en vanlig (och enkel) teknik som används av skadeprogram för att dölja detta beteende.

Slutligen kör den ett kommandoskript som startar payloaden från den nya platsen och raderar den gamla versionen.

Varje tangenttryckning du gör, varje steg du tar – de kommer att övervaka dig.

Efter att ha slutfört den initiala konfigurationen startar payloaden två trådar. Den första övervakar och sparar kontinuerligt användarens senaste inmatningstidsstämpel. Den andra fungerar som en keylogger, genom att sätta en fönsterkrok för att spåra det aktiva programmet på skärmen och logga varje tangenttryckning som användaren gör.

För serverkommunikation stöder payloaden flera anslutningsmetoder beroende på inställningen ”Pastebin”. Om den här inställningen är satt till null faller den tillbaka till en domän som anges i -provets inbäddade IT-konfiguration. Först kontrolleras om domännamnet är giltigt med ClientSocket.IsValidDomainName(). Om den är giltig försöker den lösa domänen med hjälp av Dns.GetHostAddresses() och itererar över varje returnerad IP-adress och försöker upprätta en anslutning via ClientSocket.TcpClient.Connect(). Om anslutningen lyckas (ClientSocket.TcpClient.Connected) avbryts loopen. Om domänen inte är giltig eller om namnuppslagning misslyckas försöker den ansluta direkt med hjälp av den ursprungliga strängen och en fördefinierad port. Denna logik ger redundans för att säkerställa att den skadliga programvaran når sin kommando- och kontrollinfrastruktur.

När anslutningen har upprättats överför den skadlig programvaran information om offret, inklusive systeminformation och metadata om det exekverade provet.

Dessutom kontrollerar skadlig programvara förekomsten av kryptovalutaplånböcker och specifika webbläsartillägg genom att inspektera utsedda mappar. Om någon hittas, sätts motsvarande värde till ”true”. Nedan följer en lista över de identifierare som används:

Meta_Firefox, Meta_Chrome, Meta_Brave, Meta_Edge, Meta_Opera, Meta_OperaGX, Phantom_Chrome, Phantom_Brave, Binance_Chrome, Binance_Edge, TronLinkChrome, Exodus_Chrome, BitKeep_Chrome, CoinBase_Chrome, Ronin_Chrome, Trust_Chrome, BitPay_Chrome, F2a_Chrome, F2a_Brave, F2a_Edge, Ergo_Wallet, Ledger_Live, Atomic, Exodus, Electum, Coinomi, Binance, Bitcoin_Core

Klienten tar emot data från servern i ett kodat format. Först dekomprimeras innehållet med hjälp av funktionen Zip.Decompress() och sedan avkodas meddelandet. Efter att ha läst en byte från meddelandet jämförs den med fördefinierade värden. Baserat på resultatet utför den olika operationer, såsom byteväxling och konvertering av data till specifika datatyper.

När ett kommando tas emot från servern extraherar nyttolasten det från paketet, beräknar dess kondensat och jämför det med lagrade värden. Varje kommando jämförs också direkt med den fördefinierade uppsättningen validerade kommandon:

getscreen, uacoff, killps, ResetHosts, weburl, Chrome, plugin, ResetScale, passload, Wallets, savePlugin, Fox, pong, DiscordTokens, setxt, WDExclusion, KillProxy, Net35, klget, Avast, Block, WebBrowserPass, gettxt, anydesk, backproxy

När det lämpliga kommandot har identifierats anropar payloaden funktionen Plugins(), som utlöser en specifik procedur baserat på den angivna parametern.

Dessa plugins representerar de funktionella komponenterna i varje kommando. Som standard ingår inte alla pluginer i den initiala payloaden. I stället kan de laddas ner från servern när kommandona ”plugin” eller ”savePlugin” tas emot. Följande är en lista över kommandon och motsvarande åtgärder som ingår i payloaden:

Command

Åtgärd

killps

Kill process

ResetHosts

Clear “\\hosts.backup” file

weburl

Öppna den angivna URL-adressen med ”Process.Start”

plugin

Ladda ner och anropa payload-plugin

ResetScale

Använd SPI SETLOGICALDPIOVERRIDE för att ändra skalning

pong

Ändra intervallet mellan klient-server-kommunikationer

klget

Hämta keylogger-loggfil

Block

Ändra filen ”\\hosts” för att blockera en viss IP-adress

gettxt

Hämta data från urklipp

Undertecknad och levererad: Missbruk av sårbara drivrutiner och sidoladdning av DLL

I ZIP-arkivet hittar vi den här gången en avledande körbar fil och två DLL-filer, en legitim och en beväpnad. Den körbara filen sideloadar den legitima ”CiscoSparkLauncher.dll”, som i sin tur triggar den skadliga DLL-filen att avkoda och placera tre filer i ”%Temp%”-katalogen: två sårbara drivrutiner som används för privilegieeskalering på kernel-nivå samt den slutliga RemcosRAT-payloaden.

Den initiala körbara filen anropar en funktion från ”CiscoSparkLauncher.dll”, en legitim fil som i sin tur anropar GetFileVersionInfoSizeW() från ”VERSION.dll”. I detta fall är ”VERSION.dll” en skadlig DLL, vilket indikerar klassisk DLL-sideloading. Den skadliga DLL-filen använder kontrollflödesförvirring i sina funktioner genom loopar och villkorssatser för att försvåra analys.

Den allokerar ett nytt minnesblock med storleken 5982208 byte och kopierar data från ”.rdata”-sektionen. I själva verket är denna sektionsstorlek 5989888 byte, och när den kopieras hoppar den över de första 7680 byte. Därför kommer endast kodade data att kopieras från detta avsnitt. Därefter börjar den att lösa flera Windows API-adresser från biblioteken ”kernel32.dll”, ”ADVAPI32.dll” och ”ole32.dll”.

Datan som kopierades från ”.rdata”-sektionen skickas sedan till avkodningsfunktionen. Här konstruerar den först en nyckel från två 16-byte-värden och avkodar sektionen med hjälp av en ”XOR”-operation.

Under körningen kommer den att avkoda ytterligare data på samma sätt, men med en annan nyckel:

De avkodade uppgifterna innehåller ytterligare kod som exekveras efter dekryptering. Denna kod utför först kontroller för virtuell maskin genom att undersöka systemnamnet efter indikatorer som ”vmware” eller ”virtualbox”, samt utvärdera tillgängligt minne, antal CPU:er och skärmupplösning. Om något av dessa villkor tyder på en virtualiserad miljö avbryter programmet exekveringen.

Den kopierar sig själv tillsammans med filerna ”CiscoSparkLauncher.dll” och ”VERSION.dll” till ”%Temp”-mappen och kör nästa kommando för att etablera persistens:

C:\Windows\system32\cmd.exe /c schtasks /create /tn "Yt4Bvc2G" /tr "C:\Users\DEV\AppData\Roaming\DEMANDA LABORAL JUDICIAL 2313154.exe" /sc onlogon /rl highest /f

För att kringgå antivirusprogram kontrollerar den om vissa mappsökvägar finns och använder därefter funktionerna ”CreateToolHelp32Snapshot”, ”Process32First” och ”Process32Next” för att lista alla aktiva processer och avsluta dem som matchar den sparade listan över processnamn:

AnhRpt, Ahnsd, v3sp, mupdate2, autop, ArtHost, ASDSvc, v3lite4, v314sp, V3Light, V3Medic, V3SVC, AhnLabPolicyAgent, eausvc, AYUpdate.aye, ALYac.aye, AYAgent.aye, AYUpdSrv.aye, AYWSSrv.aye, AYTRSrv.aye, ALMountService, eOppFrame, egui, eguiProxy, efwd, ekrn, mc-fwhost, mc-web-view, mcupdate, mfwc, updaterui, mfeann, mcuicnt, mfevtps, mfetp, mfemms, McShield, AvEmUpdate, icarus_ui, overseer, AVGUI, aswidsagent, afwServ, avgToolsSvc, aswEngSrv, AVGSvc, wsc_proxy, overseer, wa_3d_party_host_64, su_worker, wa_3d_party_host_32, AvastBrowserUpdate, AvBugReport, AvastBrowserProtect, icarus_ui, icarus, AvastUI, aswidagent, afwServ, aswToolSvc, aswEngSrv, AvastSvc, wsc_proxy, MpCmdRun, NisSrv, MsMpEng, smartscreen, MpDefenderCoreService, HipsMain, wsctrlsvc, HipsTray, TrafficPort, HipsDaemon, 360UHelper, 360speedld, safesvr, SoftMgr, LiveUpdate360, inst, 360Safe, 360leakFixer, 360Tray, ZhuDongFangYu, PopTip, 360TsLiveUpd, certuril, PromoUtil, PopWndLog, QHSafeTray, QHWatchdog, QHActiveDefense, QHSafeMain, HipsMain, wsctrlsvc, HipsTray, TrafficPort, HipsDaemon

Sedan läser den ytterligare data från ”.rdata”-sektionen, avkodar den och skriver tre filer till ”%Temp”-mappen:

Filnamn

Beskrivning

VFZE6ksYnpPfSnEWUNg.sys

WiseCleaner sårbar drivrutin

cuDX73ob9SxeAS0IdV.sys

Zemana sårbar drivrutin

svchost.exe

RemcosRAT

Båda de sårbara drivrutinerna startas som tjänster i kernel-mode. Exemplet använder sedan funktionen DeviceIoControl() med styrkoden 0x80002010 för att registrera den släppta svchost.exe-processen som autentiserad och avslutar därefter sig självt.

Den analyserade payloaden lagrar sin konfiguration som en krypterad resurs. Den första byten anger nyckelstorleken, följt av RC4-krypteringsnyckeln. De återstående uppgifterna innehåller den krypterade konfigurationen.

Den dekrypterade konfigurationen avslöjar flera operativa parametrar som används av skadlig kod, inklusive C2-serverns adress och port, botnätnamn, maximal storlek för keylogger-loggar, binärt namn och mutexnamn. Den anger också intervallet för skärmdump i sekunder, mappnamn för lagring av skärmdumpar och ljudinspelningar samt ett licensnummer som sannolikt används för att spåra installationer eller affiliate-användning.

Upprätthåld fördunkling

Ett nytt kapitel i Shadow Vector-kampanjen håller på att utvecklas i skrivande stund och bygger vidare på dess tidigare dokumenterade SVG-smugglingstekniker. I den här iterationen antar hotaktören ett modulärt tillvägagångssätt och distribuerar en inläsare associerad med Katz Stealer. Infektionskedjan börjar fortfarande med noggrant utformade SVG-beten, men inkluderar nu även JavaScript- och PowerShell-stagers, en UAC-bypass via cmstp.exe samt en dynamisk .NET-loader-DLL med anti-analysfunktioner, processinjektion och valfria persistensmekanismer.

Hotaktören bakom den senaste Shadow Vector-aktiviteten använder flera Bitbucket-arkiv för att vara värd för skadliga JavaScript- och VBS-stagers. Ett sådant arkiv, ”notificaciones-judiciales2025-2005”, registrerade över 170 nedladdningar av sina stegade payloads bara några timmar efter uppladdningen den 28 maj 2025. Denna aktivitetsvolym tyder på att en samordnad nätfiskekampanj sannolikt pågick under denna period. Bland de uppladdarnamn som observerats sticker ”TheMrHacker” ut jämfört med den i övrigt konsekventa användningen av det generiska namnet ”Envio” (spanska för ”leverans”), vilket potentiellt kan ge en ledtråd om operatörens identitet.

Infektionskedjan börjar med en JavaScript-fil maskerad som ett juridiskt meddelande, i det här fallet med namnet ”001-Notificacion_electronica_demanda_judicial_Departamento_Juridico.js” , som fungerar som den första dropparen. När den körs hämtar den ett andrastegsskript från Paste.ee.

Detta uppföljande fördolda skript startar ett PowerShell-kommando konfigurerat att köras tyst (‑nop ‑w hidden) med hjälp av Invoke-Expression, som därefter kan hämta ytterligare kodad information från två Paste.ee-endpoints (båda med samma SHA256-hash).

I det sista steget laddar skriptet ner en Base64-kodad DLL från Internet Archive, vanligtvis maskerad i en textfil hostad på archive[.]org/replace_202505/REPLACE[.]txt. I vissa fall hämtas istället en bildfil som innehåller en inbäddad Base64-nyttolast som är gömd i bildinnehållet. Skriptet extraherar och avkodar nyttolasten och laddar sedan DLL:en direkt i minnet med hjälp av PowerShells metod [Reflection.Assembly]::Load().

Infektionskedjan i flera steg levererar en .NET DLL som dynamiskt laddar och kör dnlib.IO.Home.VAI()-metoden, ett beteende som är konsistent med kända Katz inläsare-prover. Även om loadern matchar flera YARA-signaturer kopplade till Katz Stealer, distribuerar den inte stealern i detta fall. Istället hämtar den den slutliga nyttolasten vid körning och kör den helt i minnet, utan att lämna några artefakter på disken. Inläsaren implementerar avancerade funktioner som anti-felsökning och anti-tampering-kontroller, en valfri UAC-bypass med cmstp.exe och strängdekryptering från en krypterad resursblob. Den använder processhåltagning för att injicera kod i legitima binärfiler och upprätthåller persistens genom schemalagda uppgifter och registerändringar. Den möjliggör även konfiguration av anti-VM-kontroller under körning.

Flera strängar inbäddade i loaderns kod är skrivna på portugisiska, inklusive meddelanden som ”Baixar e executar o PuTTY a cada 1 minuto indefinidamente” (”Ladda ner och kör PuTTY varje minut på obestämd tid”), ”Extensão não suportada” (”Ej stödd filändelse”), ”Recurso ‘UAC.dll’ não encontrado!” (”Resursen ‘UAC.dll’ hittades inte!”) och ”Erro ao executar a DLL em memória” (”Fel vid körning av DLL i minnet”). Dessa meddelanden, i kombination med de parameternamn som används i VAI-metoden (t.ex. ”caminhovbs”, ”persitencia”, ”extenção”, ”nomedoarquivo”), tyder på att loadern delar designelement eller kodåteranvändning med verktyg utvecklade av portugisisktalande hotaktörer – framför allt sådana som är involverade i finansiellt motiverade skadeprogramskampanjer riktade mot Brasilien.

Avslutande argument

Som en naturlig vidareutveckling av sina tidigare SVG-smugglingstekniker har denna hotaktör övergått till att använda en modulär, minnesresident loader som kan köra payloads dynamiskt och fullständigt i minnet, vilket lämnar minimala spår efter sig. Denna loader levereras genom en flerstegs infektionskedja som förlitar sig på offentliga värdplattformar – en metod som försvårar både attribuering och nedstängningsinsatser.

Förekomsten av portugisiskspråkiga strängar och metodparametrar i inläsaren speglar TTP:er som ofta observeras i brasilianska banktrojaner, vilket tyder på möjlig kodåteranvändning, gemensamma utvecklingsresurser eller till och med samarbete mellan hotaktörer i olika regioner.

Kampanjens fortsatta fokus på latinamerikanska mål, användning av institutionell imitation och snabb, skalbar utplacering visar på ett ihållande och föränderligt hot.

Upptäckt av Acronis

RemcosRAT

Indikatorer på kompromettering

YARA

rule crimeware_shadow_vector_svg

{

meta:

description = "Detects malicious SVG files associated with Shadow Vector's Colombian campaign"

author = "Acronis TRU"

date = "2025-06-06"

file_type = "SVG"

malware_family = "Shadow Vector"

threat_category = "Crimeware / Malicious Image / Embedded Payload"

tlp = "TLP:CLEAR"

strings:

$svg_tag1 = "<?xml" ascii

$svg_tag2 = "<svg" ascii

$svg_tag3 = "<!DOCTYPE svg" ascii

$svg_tag4 = "http://www.w3.org/2000/svg" ascii

//used by Shadow Vector (possibly generated in batch)

$judicial = "juzgado" ascii nocase

$judicial_1 = "citacion" ascii nocase

$judicial_2 = "judicial" ascii nocase

$judicial_3 = "despacho" ascii nocase

$generado = "Generado" ascii nocase

condition:

filesize < 3MB and

3 of ($svg_tag*) and

(1 of ($judicial*) and $generado)

}

Referenser

MuchoHacker. “Correos de hospital y Rama Judicial en Colombia son usados para enviar correos falsos con archivos SVG que podrían contener malware”. 31 oktober 2024.

https://muchohacker.lol/2024/10/correos-de-hospital-y-rama-judicial-en-colombia-son-usados-para-enviar-correos-falsos-con-archivos-svg-que-podrian-contener-malware

SciLabs. “Red Akodon: A new threat actor distributing RAT to Colombia.” 27 maj 2024.

https://blog.scilabs.mx/en/2024/05/27/red-akodon-a-new-threat-actor-distributing-rat-to-colombia

Shadow Vector attackerar Columbia-användare med falska brådskande juridiska meddelanden

Sammanfattning

Leverans – malware serverad

Ärendefil: AsyncRAT via DLL-sidoladdning

Sideloaded exekveringskedja

Konfiguration

Installation och persistens

Varje tangenttryckning du gör, varje steg du tar – de kommer att övervaka dig.

Undertecknad och levererad: Missbruk av sårbara drivrutiner och sidoladdning av DLL

Upprätthåld fördunkling

Avslutande argument

Upptäckt av Acronis

RemcosRAT

Indikatorer på kompromettering

SVG

Paket

Payloads

YARA

Referenser