VirusTotal finds hidden malware phishing campaign in SVG files

2 minute de lecture

Mis à jour : September 06, 2025

Campagne de Phishing Dissimulée dans des Fichiers SVG

Une nouvelle campagne de phishing exploite des fichiers SVG (Scalable Vector Graphics) pour créer des portails frauduleux, se faisant passer pour le système judiciaire colombien. Ces fichiers, qui utilisent des formules mathématiques pour générer des images, peuvent également intégrer du code JavaScript et afficher du contenu HTML via l’élément <foreignObject>, leur permettant d’exécuter des scripts au chargement.

La plateforme VirusTotal a découvert cette menace grâce à sa fonctionnalité d’IA, AI Code Insight, qui analyse les échantillons de fichiers pour identifier les comportements suspects ou malveillants. Un fichier SVG, non détecté par les antivirus traditionnels, utilisait JavaScript pour présenter un faux portail de téléchargement de documents judiciaires, incluant des détails comme des numéros de dossier et des jetons de sécurité pour renforcer sa crédibilité.

Une fois la barre de progression du téléchargement affichée, le faux portail incitait l’utilisateur à télécharger une archive ZIP protégée par mot de passe, lequel était lui-même indiqué sur la page frauduleuse. L’extraction de cette archive révèle un exécutable légitime d’un navigateur web renommé, une DLL malveillante conçue pour être chargée en sideload, et deux fichiers chiffrés. L’exécution de l’exécutable déclenche le chargement de la DLL malveillante, conduisant à l’installation d’autres malwares sur le système compromis.

VirusTotal a identifié 523 autres fichiers SVG similaires ayant échappé aux détections des solutions de sécurité, tous faisant partie de la même campagne. L’intégration du support des SVG dans AI Code Insight a été déterminante pour mettre au jour cette opération, soulignant l’efficacité de l’IA pour détecter de nouvelles menaces.

Points Clés :

Exploitation de fichiers SVG pour des campagnes de phishing.
Imitation du système judiciaire colombien.
Utilisation de JavaScript et HTML au sein des SVG pour créer de faux portails.
Distribution d’une archive ZIP protégée par mot de passe contenant un exécutable et une DLL malveillante.
La DLL malveillante est chargée en sideload par l’exécutable pour installer des malwares supplémentaires.
Les antivirus traditionnels ont eu du mal à détecter ces fichiers SVG.

Vulnérabilités :

Capacité des fichiers SVG à exécuter du code (JavaScript) et à afficher du contenu HTML via <foreignObject>.
Failles dans la détection des fichiers SVG par les solutions de sécurité conventionnelles.

Recommandations :

Utiliser des solutions de sécurité dotées de capacités d’analyse comportementale et d’IA (comme VirusTotal AI Code Insight) pour la détection de menaces innovantes.
Faire preuve de prudence lors du téléchargement et de l’ouverture de fichiers, même s’ils semblent provenir de sources officielles.
Sensibiliser les utilisateurs aux techniques de phishing, y compris celles utilisant des formats de fichiers moins conventionnels.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

VirusTotal finds hidden malware phishing campaign in SVG files

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast