Acronis Threat Research Unit (TRU) har identifierat en avancerad kampanj med skadlig kod som utnyttjar SVG-filer (Scalable Vector Graphics) som initial attackvektor.

Kampanjen kombinerar filfri exekvering, utnyttjande av offentlig infrastruktur och dold privilegieeskalering – vilket väcker oro för organisationer med digitalt uppkopplade miljöer.

Officiella skendokument och betrodda filformat

Shadow Vector-aktörerna utger sig för att vara officiella institutioner och distribuerar nätfiskemejl med lösenordsskyddade SVG-bilagor. Dessa filer återger officiellt utformade skendokument direkt i webbläsaren och bäddar samtidigt in länkar till JavaScript- eller VBS-laddare som lagts upp på offentliga plattformar som Bitbucket, Dropbox och Internet Archive.

När de aktiveras inleder dessa laddare en infekteringskedja i flera steg, som slutligen installerar fjärråtkomsttrojaner (RATs) som AsyncRAT och RemcosRAT. Skadlig kod levereras via DLL-sidoladdning och utnyttjande av sårbara drivrutiner för att höja privilegier – vilket gör det möjligt för angriparen att ta full kontroll över systemet med minimal spårbarhet.

Kampanjen kännetecknas av teknisk sofistikation och inkluderar bland annat:

DLL-sidoladdning och utnyttjande av drivrutiner i kärnläge
Filfri exekvering via in-memory .NET-laddare
UAC-kringgående genom Windows-verktyg som cmstp.exe
Obfuskering med Base64-kodade skript och nyttolaster gömda i bild- eller textfiler
Skydd mot analys, inklusive sandlådedetektering och kringgående av felsökare
Även om den inledande vågen av attacker fokuserat på Colombia, är metoderna mycket portabla. Användningen av betrodda filformat som SVG och offentlig infrastruktur ligger nära den tekniska miljön inom Europa. Dessutom tyder debug-strängar och laddarparametrar på portugisiska på att delar av koden återanvänds från brasilianska brottsverktyg – något som pekar på möjlig samverkan eller delat ekosystem mellan aktörer.

Relevans för europeiska verksamheter
Den infrastruktur som Shadow Vector utnyttjar – molnlagring, skriptmotorer och inbyggda Windows-funktioner – är utbredd inom europeiska företag. Denna överlappning gör det sannolikt att liknande attacker kan uppstå i regionen, anpassade till lokala förhållanden och målgrupper. Branscher med distribuerade system, som tillverkning, logistik, finans och offentlig sektor, kan vara särskilt utsatta på grund av kampanjens modulära nyttolaster, fjärrövervakning och fokus på inhämtning av inloggningsuppgifter.

Rekommendationer till organisationer
För att minska riskerna med denna kampanj och dess möjliga varianter bör organisationer:

Inspektera ovanliga bilagetyper, inklusive SVG-filer, i flera lager
Blockera exekvering av osignerade skript och DLL-filer på klienter
Segmentera affärskritiska system och tillämpa strikt åtkomstkontroll
Övervaka schemalagda uppgifter och registerbaserad persistens
Detektera exekvering i minnet och misstänkt åtkomst till autentiseringsuppgifter med beteendebaserad analys