Redazione RHC : 5 septiembre 2025 17:33
Los ciberdelincuentes han lanzado una nueva ola de ataques utilizando archivos SVG para distribuir páginas de phishing. Expertos de VirusTotal han informado que los atacantes se están haciendo pasar por la Fiscalía colombiana y distribuyen archivos adjuntos de correo electrónico con código JavaScript oculto. El análisis automático reveló comportamientos que los programas antivirus no pudieron detectar.
El formato SWF, oficialmente «muerto» desde la desactivación de Flash en 2020, sigue apareciendo en el tráfico. En 30 días, VirusTotal recibió 47.812 archivos SWF únicos previamente desconocidos, y 466 de ellos activaron al menos un motor antivirus. En un caso, solo tres de los 63 activadores indicaron indicios «sospechosos» de una antigua vulnerabilidad, pero un análisis detallado reveló que se trataba de un juego complejo con renderizado 3D, audio y un editor de niveles integrado.
Las clases ofuscadas, el uso de RC4/AES y la recopilación de información del sistema parecían alarmantes, pero eran coherentes con la lógica de la protección contra trampas y modificaciones. No se detectó comportamiento malicioso en estos artefactos.
SVG es lo opuesto a ambos, en esencia y en tiempo: un estándar abierto para la web y el diseño. Por eso es el favorito de los atacantes. En los últimos 30 días, VirusTotal ha recibido 140.803 archivos SVG únicos, previamente desconocidos, de los cuales 1.442 fueron reportados por al menos un motor. Una de las muestras no fue detectada por ningún motor, pero durante la renderización, ejecutó un script incrustado que decodificó e incrustó una página HTML de phishing que copiaba el portal del sistema de justicia colombiano. Para hacerlo más creíble, la página simulaba la carga de un documento con una barra de progreso y, en segundo plano, se descargaba y cargaba un archivo ZIP. El comportamiento se confirmó en el entorno de pruebas: se encontraron elementos visuales, números y tokens de seguridad, a pesar de que solo se trataba de una imagen SVG.
Según VirusTotal, este no es un caso aislado. Una consulta type:svg que mencionaba a Colombia devolvió 44 SVG únicos, todos sin detectar por el antivirus, pero utilizando las mismas tácticas: ofuscación, polimorfismo y código basura de gran tamaño para aumentar la entropía. Al mismo tiempo, los scripts aún contenían comentarios en español como «POLIFORMISMO_MASIVO_SEGURO» y «Funciones dummy MASIVAS», una vulnerabilidad compatible con una firma YARA simple.
Una búsqueda de un año arrojó 523 resultados. La muestra más antigua databa del 14 de agosto de 2025, también se descargó desde Colombia y tampoco se detectó. Un nuevo análisis confirmó el mismo patrón de phishing y descargas sigilosas. Las muestras iniciales eran más grandes, de unos 25 MB, pero luego el tamaño disminuyó, lo que indica un refinamiento de la carga útil.
El canal de distribución fue el correo electrónico, lo que nos permitió vincular la cadena según los metadatos del remitente, las líneas de asunto y los nombres de los archivos adjuntos.
RedazioneLa Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
El equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
LockBit representa una de las bandas de ransomware más longevas y mejor estructuradas de los últimos años, con un modelo de ransomware como servicio (RaaS) que ha impactado profundamente el ecosist...
