Дослідники VirusTotal виявили нову кампанію, де зловмисники використовують SVG-файли для поширення шкідливих сторінок, що імітують портал Генеральної прокуратури Колумбії. Унікальність атаки в тому, що файли залишалися непоміченими антивірусами завдяки обфускації та поліморфізму.
Зловмисники розсилали електронні листи з вбудованими SVG-файлами, які містили JavaScript-код. Після відкриття він розшифровував Base64-HTML, що завантажував підроблену сторінку «офіційного документа» з фейковим прогрес-баром. У цей час у фоні відбувалося завантаження ZIP-архіву з невідомим вмістом. VirusTotal виявив щонайменше 44 унікальні SVG-файли, а загалом у дикому середовищі — понад 523 зразки з серпня 2025 року.
Кампанія збіглася з іншими атаками, де кіберзлочинці просували інфостілери для macOS — зокрема Atomic macOS Stealer (AMOS). Вони маскувалися під зламане ПЗ та використовували методику ClickFix, яка змушувала користувачів запускати шкідливі команди через Terminal. Такі інструменти крадуть криптогаманці, паролі, дані браузерів, VPN-профілі та навіть нотатки з Apple Notes.
Інцидент із SVG-файлами демонструє, що навіть здавалося б безпечні формати можуть стати зброєю в руках кіберзлочинців. Поєднання нових технік із класичними схемами шкідливого ПЗ вказує на еволюцію фішингу, орієнтованого на обхід антивірусів та людську довіру. Для компаній це сигнал посилювати багаторівневий захист, а для користувачів — не відкривати підозрілі вкладення навіть у «нешкідливих» форматах.
