Netcrook Logo
👤 NEXUSGUARDIAN
🗓️ 07 Sep 2025  

SVGs hors de contrôle : les fichiers fantômes dissimulant la dernière menace de phishing en Colombie

VirusTotal révèle une campagne furtive utilisant des fichiers SVG indétectables pour diffuser des portails de phishing chargés de malwares, déguisés en système judiciaire colombien.

En bref

  • VirusTotal a identifié 44 fichiers SVG uniques utilisés dans une campagne de phishing, tous indétectés par les logiciels antivirus.
  • La campagne usurpait l’identité du Bureau du Procureur Général de Colombie, incitant les victimes à télécharger des malwares via de faux portails de documents.
  • Les attaquants utilisaient du JavaScript et un encodage Base64 à l’intérieur des fichiers SVG pour déployer des pages de phishing et des archives ZIP protégées par mot de passe.
  • Plus de 523 fichiers SVG liés ont été découverts dans la nature, avec des tactiques évoluant pour échapper à la détection.
  • Trend Micro et CyberArk alertent sur des attaques similaires visant les utilisateurs macOS et les gamers avec des malwares voleurs d’informations.

SVG : le nouveau camouflage du cybercrime

Imaginez un fichier image apparemment inoffensif dans votre boîte de réception : un logo, un sceau officiel, une pièce jointe anodine. Mais cette image n’est pas un simple graphique. C’est un fichier SVG (Scalable Vector Graphics), un format prisé par les designers pour ses visuels nets et redimensionnables. Entre de mauvaises mains, cependant, les SVG deviennent un cheval de Troie idéal. Selon VirusTotal, une plateforme d’analyse de malwares détenue par Google, les cybercriminels exploitent les SVG pour faire passer des malwares à travers les défenses antivirus - sans être détectés ni bloqués.

Cette dernière campagne, signalée à la mi-2025, cible les Colombiens avec des emails usurpant la Fiscalía General de la Nación, le bureau du Procureur Général. Les SVG sont armés de JavaScript caché, qui décode et injecte une page de phishing à l’apparence authentique sous les yeux de l’utilisateur. Les victimes voient un portail gouvernemental convaincant, avec numéros de dossier et jetons de sécurité, leur demandant de télécharger un document. En réalité, le téléchargement est une archive ZIP protégée par mot de passe, dont le contenu réel est dissimulé sous une apparence légitime.

L’art de l’évasion : obfuscation et polymorphisme

Ce qui rend ces fichiers SVG particulièrement insidieux, c’est leur capacité à passer outre les défenses traditionnelles. Les enquêtes de VirusTotal ont révélé 44 fichiers d’attaque uniques, chacun utilisant un cocktail d’obfuscation (confusion délibérée du code), de polymorphisme (modifications subtiles dans chaque fichier) et de code inutile - les rendant invisibles pour la plupart des moteurs antivirus. Les attaquants affinaient continuellement leurs méthodes, réduisant la taille des fichiers et ajustant le code, une tactique rappelant les campagnes passées comme le tristement célèbre ransomware Locky ou les attaques plus récentes du groupe Lazarus avec des documents piégés.

Ce n’est qu’avec la récente mise à niveau de l’outil AI Code Insight de VirusTotal - capable d’analyser les SVG et de repérer les scripts cachés - que cette campagne a été révélée. Une fois exposée, les chercheurs ont retracé plus de 523 fichiers SVG liés, datant de plusieurs mois, tous faisant partie d’une opération vaste et adaptative.

Le phishing évolue : au-delà de la Colombie

Si cette campagne visait la Colombie, la méthode est mondiale. Des tactiques similaires ont émergé ailleurs : Trend Micro signale des attaquants utilisant des logiciels piratés et de fausses pages de téléchargement pour infecter les utilisateurs Apple macOS avec le voleur AMOS (Atomic macOS Stealer), tandis que CyberArk met en lumière des stratagèmes visant les gamers avec le malware StealC pour siphonner des cryptomonnaies. À mesure que des mesures de sécurité comme Gatekeeper d’Apple évoluent - bloquant les applications non signées - les attaquants s’adaptent, utilisant des commandes terminal et l’ingénierie sociale pour piéger les utilisateurs imprudents.

Quelle leçon en tirer ? À mesure que les défenses numériques s’améliorent, les déguisements des attaquants aussi. Les SVG, autrefois simples outils de design, sont devenus le dernier camouflage dans la course aux armements entre cybercriminels et défenseurs.

Conclusion : la menace protéiforme des fichiers du quotidien

La campagne de phishing via SVG révélée par VirusTotal rappelle crûment qu’en cybersécurité, même les fichiers les plus ordinaires peuvent devenir des menaces extraordinaires. À mesure que les attaquants transforment des formats familiers en armes, la vigilance et la défense en profondeur sont plus cruciales que jamais. La prochaine fois qu’une image arrive dans votre boîte de réception, souvenez-vous : ce que vous voyez n’est pas forcément ce que vous obtenez.

WIKICROOK

  • SVG (Scalable Vector Graphics) : Le SVG est un format d’image basé sur du texte qui utilise les mathématiques pour créer des visuels, permettant aux images de s’agrandir sans perte de qualité. Il peut aussi dissimuler des scripts ou du code.
  • Phishing : Le phishing est un cybercrime où des attaquants envoient de faux messages pour tromper les utilisateurs et leur faire révéler des données sensibles ou cliquer sur des liens malveillants.
  • Obfuscation : L’obfuscation est la pratique qui consiste à déguiser du code ou des données pour les rendre difficiles à comprendre, analyser ou détecter par des humains ou des outils de sécurité.
  • Encodage Base64 : L’encodage Base64 convertit des données en une chaîne de texte lisible, facilitant l’intégration ou le transfert de fichiers et de code dans des systèmes basés sur du texte.
  • Polymorphisme : Le polymorphisme est une méthode par laquelle un malware modifie son code ou son apparence à chaque version, ce qui l’aide à contourner la détection par les logiciels de sécurité.
NEXUSGUARDIAN NEXUSGUARDIAN
Supply Chain Security Architect
← Back to news