法院主题钓鱼被黑客用于传播信息窃取恶意软件

“黑客现在使用法院主题的钓鱼技术来分发信息窃取恶意软件，诱捕无辜人群。”

可缩放矢量图形（SVG）文件和司法通知已被武器化，用于针对哥伦比亚用户的新钓鱼尝试。这起复杂攻击的第一步是一封精心制作的西班牙语电子邮件，伪装成“波哥大巡回法院第17市民事法庭”，包含正式的法律语言和机构信息。

通过诱骗受害者启动多步骤感染链，“Fiscalia General De La Nacion Juzgado Civil 17.svg”附件使用内存注入技术将AsyncRAT远程访问木马（RAT）引入受信任的Windows进程。

钓鱼邮件伪装技术

钓鱼邮件通过提及波哥大的市民事法庭并提供虚构的法律行动通知，模仿官方法院通知的格式。其正文中的西班牙语文本写道：“附上针对您提出的诉讼。”波哥大巡回法院，第17市民事法庭，2025年9月11日。具体来说，这是司法通知系统。

攻击者通过使用区域信任线索调用首都法院系统来规避初始怀疑。与基于像素的格式不同，随附的SVG文件包含基于XML的指令和onclick处理程序：

当用户点击图像时，嵌入的JavaScript解码Base64编码的HTML blob，导致其作为“总检察长办公室”的虚假咨询门户打开，并提示受害者下载看起来像官方文档的HTA文件。

当用户点击“下载DOCUMENTO_OFICIAL_JUZGADO.HTA”时，无意中执行了客户端投放器。HTA将大型Base64块解码为actualiza.vbs，并将其恶意负载隐藏在垃圾代码中。

此Visual Basic脚本创建并执行的PowerShell下载器（veooZ.ps1）从攻击者控制的服务器检索文本文件（Ysemg.txt）。脚本通过替换占位符字符来清理和解码文件，结果是Classlibrary3.dll。

作为模块加载器，.NET DLL解码并写入注入器组件，获取AsyncRAT负载，并使用.NET反射将AsyncRAT注入MSBuild.exe。加载器会查找VirtualBox和VMware进程，如果发现分析环境则停止，以防止沙箱检测。

此外，它支持注册表以实现可选的持久化机制。运行密钥或启动快捷方式；但是在此活动中未使用注册表方法。

QuickHeal/Seqrite在活动分析期间识别了附件中的SVG文件。为了保护免受此类复杂威胁，了解奇怪SVG活动并执行严格电子邮件附件规定的安全团队至关重要。

在MSBuild.exe的上下文中，AsyncRAT作为.NET程序到达后完全在内存中运行。首先收集系统信息、硬件标识符、操作系统版本、用户权限、安装的防病毒软件和网络摄像头的可用性。

文件被严重混淆，混淆的数据通过XOR和移位操作循环进行解码。

它寻找提升的权限来决定持久化方法，例如在作为管理员操作时写入HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\或调度任务。否则运行。

RAT查找监控工具（Taskmgr.exe、ProcessHacker.exe）以停止它们，并使用反分析和反VM检查，包括AMSI绕过技术。

除了动态加载插件和渗漏与MessagePack捆绑的被盗数据外，它还创建到其命令与控制服务器的TLS加密通道。AsyncRAT还提供键盘记录、文件管理、远程shell执行和网络摄像头监控等功能。

此活动有效地绕过了许多传统防御，将有害代码隐藏在SVG中，并通过HTA、VBS和PowerShell链接起来。