Los ciberdelincuentes han comenzado a explotar archivos de gráficos vectoriales escalables (SVG) como vectores de ataque sofisticados, transformando archivos de imagen aparentemente inofensivos en potentes armas de phishing capaces de ejecutar JavaScript malicioso en los sistemas de Windows.
Esta amenaza emergente aprovecha la estructura basada en XML de los archivos SVG para incrustar y ejecutar scripts maliciosos cuando se abren en los navegadores web predeterminados, evitando las medidas de seguridad tradicionales que generalmente se centran en archivos ejecutables convencionales.
A diferencia de los formatos de imagen estándar como JPEG o PNG que almacenan datos de píxeles, los archivos SVG utilizan el código basado en XML para definir rutas, formas y elementos de texto vectoriales.
Esta diferencia fundamental crea una oportunidad para que los atacantes incrusten el código JavaScript dentro de la estructura del archivo, que se ejecuta automáticamente cuando el archivo SVG se abre en un navegador.
El ataque se dirige principalmente a los sistemas de Windows donde los archivos SVG se inician en los navegadores web predeterminados, lo que permite la ejecución inmediata de script sin intervención del usuario más allá de abrir el archivo.
Los investigadores de seguridad de Seqrite tienen identificado Una campaña sofisticada que emplea esta técnica, observando a los atacantes que distribuyen archivos SVG maliciosos a través de correos electrónicos de phishing de lanza con líneas de asunto engañosas como “Recordatorio para su evento programado” y archivos adjuntos llamados “Comunicatorias.
Cadena de ataque de la campaña SVG (fuente – Seqrite)
La campaña también utiliza plataformas de almacenamiento en la nube, incluidas Dropbox, Google Drive y OneDrive para distribuir archivos maliciosos mientras evade filtros de seguridad de correo electrónico.
El ataque demuestra una notable sofisticación técnica, con actores de amenaza que aprovechan las técnicas de evasión múltiple para mantener la persistencia y evitar la detección de las soluciones de seguridad tradicionales.
Mecanismo de infección técnica y ofuscación de código
Los archivos SVG maliciosos contienen “Etiquetas en secciones de CDATA para ocultar la lógica maliciosa de los escáneres de contenido básicos. Los investigadores de seguridad descubrieron que los atacantes emplean una variable de cadena con codificación hexadecimal (Y) emparejada con una corta clave XOR (Q) para la obfuscación de carga útil.
Cuando se procesa, estos datos codificados se descifraron en JavaScript ejecutable que utiliza Window.location = ‘JavaScript:’ + V; Sintaxis para redirigir a las víctimas a los sitios de phishing.
Tras el descifrado exitoso, la carga útil redirige a los usuarios a la infraestructura de comando y control, específicamente hxxps: // hju (.) Yxfbynit (.) Es/korfaehvfeqz! Bm9, que emplea a los capitán de nubeflare antes de presentar los formularios de inicio de la oficina convincentes 365 diseñados para la cosecha de credenciales.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
