Redazione RHC : 5 septiembre 2025 17:33
Los ciberdelincuentes han lanzado una nueva ola de ataques utilizando archivos SVG para distribuir páginas de phishing. Expertos de VirusTotal han informado que los atacantes se están haciendo pasar por la Fiscalía colombiana y distribuyen archivos adjuntos de correo electrónico con código JavaScript oculto. El análisis automático reveló comportamientos que los programas antivirus no pudieron detectar.
El formato SWF, oficialmente «muerto» desde la desactivación de Flash en 2020, sigue apareciendo en el tráfico. En 30 días, VirusTotal recibió 47.812 archivos SWF únicos previamente desconocidos, y 466 de ellos activaron al menos un motor antivirus. En un caso, solo tres de los 63 activadores indicaron indicios «sospechosos» de una antigua vulnerabilidad, pero un análisis detallado reveló que se trataba de un juego complejo con renderizado 3D, audio y un editor de niveles integrado.
Las clases ofuscadas, el uso de RC4/AES y la recopilación de información del sistema parecían alarmantes, pero eran coherentes con la lógica de la protección contra trampas y modificaciones. No se detectó comportamiento malicioso en estos artefactos.
SVG es lo opuesto a ambos, en esencia y en tiempo: un estándar abierto para la web y el diseño. Por eso es el favorito de los atacantes. En los últimos 30 días, VirusTotal ha recibido 140.803 archivos SVG únicos, previamente desconocidos, de los cuales 1.442 fueron reportados por al menos un motor. Una de las muestras no fue detectada por ningún motor, pero durante la renderización, ejecutó un script incrustado que decodificó e incrustó una página HTML de phishing que copiaba el portal del sistema de justicia colombiano. Para hacerlo más creíble, la página simulaba la carga de un documento con una barra de progreso y, en segundo plano, se descargaba y cargaba un archivo ZIP. El comportamiento se confirmó en el entorno de pruebas: se encontraron elementos visuales, números y tokens de seguridad, a pesar de que solo se trataba de una imagen SVG.
Según VirusTotal, este no es un caso aislado. Una consulta type:svg que mencionaba a Colombia devolvió 44 SVG únicos, todos sin detectar por el antivirus, pero utilizando las mismas tácticas: ofuscación, polimorfismo y código basura de gran tamaño para aumentar la entropía. Al mismo tiempo, los scripts aún contenían comentarios en español como «POLIFORMISMO_MASIVO_SEGURO» y «Funciones dummy MASIVAS», una vulnerabilidad compatible con una firma YARA simple.
Una búsqueda de un año arrojó 523 resultados. La muestra más antigua databa del 14 de agosto de 2025, también se descargó desde Colombia y tampoco se detectó. Un nuevo análisis confirmó el mismo patrón de phishing y descargas sigilosas. Las muestras iniciales eran más grandes, de unos 25 MB, pero luego el tamaño disminuyó, lo que indica un refinamiento de la carga útil.
El canal de distribución fue el correo electrónico, lo que nos permitió vincular la cadena según los metadatos del remitente, las líneas de asunto y los nombres de los archivos adjuntos.
RedazioneGoogle ha presentado una nueva herramienta de IA para Drive para escritorio. Se dice que el modelo se ha entrenado con millones de muestras reales de ransomware y puede suspender la sincronización pa...
Expertos de Palo Alto Networks han identificado un nuevo grupo de hackers vinculado al Partido Comunista Chino. Unit 42, la división de inteligencia de amenazas de la compañía con sede en Californi...
Los sistemas de Inteligencia Artificial Generativa (GenAI) están revolucionando la forma en que interactuamos con la tecnología, ofreciendo capacidades extraordinarias en la creación de texto, imá...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...
