Redazione RHC : 5 septiembre 2025 17:33
Los ciberdelincuentes han lanzado una nueva ola de ataques utilizando archivos SVG para distribuir páginas de phishing. Expertos de VirusTotal han informado que los atacantes se están haciendo pasar por la Fiscalía colombiana y distribuyen archivos adjuntos de correo electrónico con código JavaScript oculto. El análisis automático reveló comportamientos que los programas antivirus no pudieron detectar.
El formato SWF, oficialmente «muerto» desde la desactivación de Flash en 2020, sigue apareciendo en el tráfico. En 30 días, VirusTotal recibió 47.812 archivos SWF únicos previamente desconocidos, y 466 de ellos activaron al menos un motor antivirus. En un caso, solo tres de los 63 activadores indicaron indicios «sospechosos» de una antigua vulnerabilidad, pero un análisis detallado reveló que se trataba de un juego complejo con renderizado 3D, audio y un editor de niveles integrado.
Las clases ofuscadas, el uso de RC4/AES y la recopilación de información del sistema parecían alarmantes, pero eran coherentes con la lógica de la protección contra trampas y modificaciones. No se detectó comportamiento malicioso en estos artefactos.
SVG es lo opuesto a ambos, en esencia y en tiempo: un estándar abierto para la web y el diseño. Por eso es el favorito de los atacantes. En los últimos 30 días, VirusTotal ha recibido 140.803 archivos SVG únicos, previamente desconocidos, de los cuales 1.442 fueron reportados por al menos un motor. Una de las muestras no fue detectada por ningún motor, pero durante la renderización, ejecutó un script incrustado que decodificó e incrustó una página HTML de phishing que copiaba el portal del sistema de justicia colombiano. Para hacerlo más creíble, la página simulaba la carga de un documento con una barra de progreso y, en segundo plano, se descargaba y cargaba un archivo ZIP. El comportamiento se confirmó en el entorno de pruebas: se encontraron elementos visuales, números y tokens de seguridad, a pesar de que solo se trataba de una imagen SVG.
Según VirusTotal, este no es un caso aislado. Una consulta type:svg que mencionaba a Colombia devolvió 44 SVG únicos, todos sin detectar por el antivirus, pero utilizando las mismas tácticas: ofuscación, polimorfismo y código basura de gran tamaño para aumentar la entropía. Al mismo tiempo, los scripts aún contenían comentarios en español como «POLIFORMISMO_MASIVO_SEGURO» y «Funciones dummy MASIVAS», una vulnerabilidad compatible con una firma YARA simple.
Una búsqueda de un año arrojó 523 resultados. La muestra más antigua databa del 14 de agosto de 2025, también se descargó desde Colombia y tampoco se detectó. Un nuevo análisis confirmó el mismo patrón de phishing y descargas sigilosas. Las muestras iniciales eran más grandes, de unos 25 MB, pero luego el tamaño disminuyó, lo que indica un refinamiento de la carga útil.
El canal de distribución fue el correo electrónico, lo que nos permitió vincular la cadena según los metadatos del remitente, las líneas de asunto y los nombres de los archivos adjuntos.
RedazioneLos atacantes están explotando activamente una vulnerabilidad crítica en el sistema de protección de aplicaciones web (WAF) FortiWeb de Fortinet, que podría utilizarse como medio para realizar ata...
En uno de los foros más populares de Rusia para la compraventa de vulnerabilidades y herramientas de ataque, el hilo apareció como un anuncio comercial estándar, pero su contenido dista mucho de se...
A menudo hablamos del servicio de ransomware como servicio (RaaS) LockBit, recientemente renovado como LockBit 3.0, que sigue aportando innovaciones significativas al panorama del ransomware. Estas in...
En esta apasionante historia, viajaremos a 1959 al Club de Ferrocarriles en Miniatura del MIT Tech y conoceremos a Steve Russell. Steve fue uno de los primeros hackers y escribió uno de los primeros ...
El significado de » hacker » tiene profundas raíces. Proviene del inglés «to hack», que significa picar, cortar, golpear o mutilar. Es una imagen poderosa: la de un campesino rompiendo terrones ...
