Campaña de phishing basada en SVG suplanta al poder judicial colombiano para distribuir malware

La campaña: lo que descubrió VirusTotal

Investigadores de seguridad de VirusTotal han identificado una campaña de phishing que oculta contenido malicioso dentro de archivos Scalable Vector Graphics (SVG). Los SVG están diseñados para mostrar páginas de tipo portal creíbles que suplantan al sistema judicial de Colombia y actúan como mecanismos de entrega de malware.

El análisis de VirusTotal muestra cómo los atacantes incrustan contenido activo en archivos SVG para presentar portales de aspecto realista que inducen a las víctimas a interactuar y, en última instancia, descargar o ejecutar cargas útiles maliciosas.

La campaña pone de manifiesto una preferencia creciente entre los atacantes por formatos de adjuntos y hospedaje no tradicionales que pueden eludir defensas basadas en firmas y extensiones. Al usar SVG, los actores de amenaza pueden ofrecer una experiencia similar a la de una página dentro de un archivo de imagen y emplear esa superficie para phishings de credenciales o para iniciar etapas secundarias que despliegan malware.

Por qué los archivos SVG importan como vector de ataque

SVG es un formato de imagen vectorial basado en XML que admite funciones no disponibles en formatos rasterizados como PNG o JPEG. Debido a que los SVG son texto/XML, pueden contener enlaces incrustados, CSS y —en ciertos contextos— comportamientos similares a scripts o referencias a recursos externos. Esa flexibilidad hace que el SVG sea útil para diseño web legítimo, pero también atractivo para los atacantes.

Permitidos por muchas pasarelas: Las pasarelas de correo y web suelen permitir formatos de imagen mientras bloquean formatos ejecutables, por lo que los atacantes usan tipos de imagen para evitar filtros poco restrictivos.
Renderable como una página: Cuando se renderiza en un navegador o en ciertos visores, un SVG puede mostrar contenido estilizado que se asemeje a un formulario o página de portal, aumentando la credibilidad del cebo de phishing.
Contenido obfuscatable: Al ser de texto, los SVG pueden contener contenido similar a HTML ofuscado, incrustar data URIs o codificar cargadores de payload dentro del archivo para complicar el análisis estático.

Estas características convierten a los SVG en un portador conveniente para cebos de ingeniería social y para iniciar pasos posteriores que obtienen o ejecutan malware —un patrón que VirusTotal observó en la campaña dirigida al sistema judicial de Colombia.

Análisis operativo y retos de detección (perspectiva experta)

Para los defensores, las campañas basadas en SVG presentan una combinación de desafíos de detección y respuesta. El siguiente análisis destaca factores técnicos prácticos y estrategias de inspección que los profesionales deberían considerar.

Extensión frente a contenido: Las pasarelas que se basan únicamente en extensiones de archivo o tipos MIME pueden ser eludidas. Un atacante puede renombrar archivos o establecer tipos MIME benignos mientras el payload contiene XML con elementos activos.
Puntos ciegos del análisis estático: Los motores de AV tradicionales que se centran en firmas PE/ELF no detectan comportamientos maliciosos incrustados en XML. Los atacantes también pueden usar blobs codificados en base64 o datos comprimidos dentro de los SVG para ocultar payloads.
Comportamiento dependiente del renderizador: Si un SVG ejecuta contenido activo depende del renderizador (navegador, visor, cliente de correo). Un archivo benigno al mostrarse como imagen embebida en un cliente de correo puede volverse activo si se abre en un navegador o en un visor externo.
Hospedaje y entrega: Los atacantes con frecuencia alojan SVG maliciosos en infraestructuras con apariencia legítima o en almacenamiento en la nube para reducir sospechas. También pueden distribuir SVG como adjuntos, enlaces a archivos alojados o recursos embebidos en sitios comprometidos.

Por tanto, la detección y la mitigación deberían combinar la inspección del contenido, la ejecución en sandbox y la telemetría en tiempo de ejecución en lugar de confiar únicamente en el emparejamiento de firmas.

Incidentes comparables y contexto de la industria

El uso de formatos de archivo y mecanismos de hospedaje no tradicionales para entregar cebos de phishing o malware es consistente con tendencias más amplias observadas en el panorama de amenazas.

El phishing sigue siendo uno de los vectores de acceso inicial más habituales en numerosos informes de brechas y estudios de la industria, que con frecuencia señalan la continua adaptación de los atacantes para eludir controles de defensa.
Los atacantes ya han armado otros formatos de archivo —como adjuntos HTML, archivos ISO, accesos directos LNK e incluso documentos de Microsoft Office con contenido web incrustado— para presentar cebos interactivos mientras evitan la detección.
Comunidades y proveedores de seguridad han advertido repetidamente que los formatos basados en XML (incluyendo SVG y ciertos paquetes XML de Office) pueden contener contenido activo u ofuscado y deben tratarse con mayor escrutinio.

El hallazgo de VirusTotal encaja en este patrón: los adversarios se trasladan de forma iterativa a formatos que combinan uso legítimo con la capacidad de alojar contenido interactivo, ofuscado o ejecutable.

Recomendaciones prácticas para defensores

Las organizaciones deberían considerar el auge del phishing basado en SVG como un motivo para endurecer el manejo de adjuntos, mejorar las canalizaciones de inspección y perfeccionar los procedimientos de respuesta a incidentes. Pasos prácticos incluyen:

Endurecer pasarelas de correo y políticas de archivos
- Bloquear o poner en cuarentena adjuntos SVG por defecto cuando las necesidades del negocio no los requieran.
- Aplicar una validación estricta del tipo MIME y descartar archivos con desajustes (p. ej., una extensión .svg con un tipo MIME ejecutable).
- Eliminar o sanear contenido activo en archivos entrantes: suprimir scripts, referencias externas y data URIs cuando sea posible.
Mejorar la inspección de contenido y el sandboxing
- Aplicar análisis estático para detectar elementos XML comúnmente abusados para interactividad (p. ej.,
- Enviar SVG sospechosos a un sandbox dinámico que pueda renderizar el archivo y observar actividad de red, descargas intentadas o manipulaciones sospechosas del DOM.
Endurecer endpoints y navegadores
- Asegurar que navegadores y visores de imágenes estén parcheados y aplicar políticas de seguridad de contenido (CSP) cuando sea posible para limitar la ejecución inline y la carga de recursos.
- Configurar controles EDR/en el endpoint para monitorizar procesos iniciados por renderizadores inesperados o para bloquear la descarga de ejecutables iniciada por visores de documentos o imágenes.
Hunting y alertas
- Crear reglas de detección y firmas YARA que señalen SVG que contengan etiquetas script, manejadores de eventos inline, payloads en data URI o secciones inusualmente largas en base64.
- Buscar indicadores de red como conexiones a dominios recién registrados, enlaces de almacenamiento en la nube que entreguen archivos SVG o solicitudes GET anómalas para recursos .svg.
Formación de usuarios y controles operativos
- Formar a los usuarios para que traten los adjuntos inesperados —incluso imágenes— con sospecha, especialmente si se presentan como portales oficiales o solicitan credenciales y descargas.
- Implementar controles técnicos para canales de comunicación de alto riesgo (p. ej., exigir portales seguros para notificaciones oficiales en lugar de adjuntos de correo electrónico).

Conclusión

Los hallazgos de VirusTotal subrayan una realidad simple pero persistente: los atacantes explotan cualquier formato que pueda plausiblemente eludir los filtros y convencer a un usuario para que actúe. Los archivos SVG, por ser de texto y capaces de mostrar contenido similar a páginas, son cada vez más atractivos para campañas de phishing que buscan distribuir malware. Los defensores deben tratar los SVG como contenido potencialmente activo, aumentar capacidades de inspección y sandboxing, y endurecer políticas de adjuntos y procedimientos orientados al usuario para reducir el riesgo de compromiso.

Fuente: www.bleepingcomputer.com

Cookie	Duración	Descripción
cookielawinfo-checbox-analytics	11 months	Esta cookie es establecida por el plugin GDPR Cookie Consent. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies de la categoría "Análisis".
cookielawinfo-checbox-functional	11 months	La cookie se establece por el consentimiento de cookies GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checbox-others	11 months	Esta cookie es establecida por el plugin GDPR Cookie Consent. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies de la categoría "Otros".
cookielawinfo-checkbox-necessary	11 months	Esta cookie es establecida por el plugin GDPR Cookie Consent. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-performance	11 months	Esta cookie es establecida por el plugin GDPR Cookie Consent. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies de la categoría "Rendimiento".
viewed_cookie_policy	11 months	La cookie es establecida por el plugin GDPR Cookie Consent y se utiliza para almacenar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.

Campaña de phishing basada en SVG suplanta al poder judicial colombiano para distribuir malware

Campaña de phishing basada en SVG suplanta al poder judicial colombiano para distribuir malware

Campaña de phishing basada en SVG suplanta al poder judicial colombiano para distribuir malware

La campaña: lo que descubrió VirusTotal

Por qué los archivos SVG importan como vector de ataque

Análisis operativo y retos de detección (perspectiva experta)

Incidentes comparables y contexto de la industria

Recomendaciones prácticas para defensores

Conclusión

Autor: Cristian Santana

Posts Relacionados