Ciberataques de Phishing en imágenes SVG

Según un nuevo estudio de Sophos, los cibercriminales han aumentado el uso de archivos gráficos para difundir enlaces maliciosos y malware durante los ataques de phishing por correo electrónico.

Se ha observado que los atacantes utilizan el formato de archivo gráfico SVG (gráficos vectoriales escalables) para este propósito. Los SVG contienen instrucciones de texto similares a XML (lenguaje de marcado extensible) para dibujar imágenes vectoriales redimensionables en una computadora.

La táctica está diseñada para eludir las herramientas convencionales de protección de puntos finales o de correo electrónico. Algunas herramientas antispam pueden no considerar los archivos SVG como una amenaza porque están pensados como archivos gráficos. «Incluso en los casos en que estas herramientas inspeccionan y analizan los archivos SVG, los actores de amenazas pueden estar utilizando archivos SVG porque algunos tipos de tecnología de escaneo de contenido pueden no reconocer los patrones o la forma en que se construye el contenido malicioso dentro del archivo SVG».

Los archivos SVG ofrecen una serie de ventajas para los actores de amenazas:

Se abren en el navegador predeterminado de las computadoras Windows
Pueden contener etiquetas de anclaje, secuencias de comandos y otros tipos de contenido web activo, lo que permite a los atacantes incluir una etiqueta de anclaje que se vincula a una página web alojada en otro lugar
Se pueden usar para dibujar una variedad de formas y gráficos, lo que permite a los atacantes hacerse pasar por múltiples entidades

El formato SVG proporciona a los actores de amenazas otro conjunto de metodologías para ocultar u ofuscar contenido malicioso en el interior. Los investigadores observaron por primera vez la propagación de archivos SVG adjuntos maliciosos a fines de 2024 y este enfoque se ha acelerado desde mediados de enero de 2025.

Cómo funcionan los ataques de phishing SVG

Sophos dijo que ha observado que los atacantes usan múltiples líneas de asunto y señuelos para incitar a los objetivos a hacer clic en imágenes SVG maliciosas.

Estos señuelos incluían nuevos mensajes de voz, contratos, confirmación de pago e inscripción en salud y beneficios.
Los ataques también se hacen pasar por varias marcas y servicios conocidos, incluidos DocuSign, Microsoft SharePoint, Dropbox y Google Voice.
Además, se descubrieron versiones que apuntaban a distintos idiomas, según el dominio de nivel superior del destinatario.
Los archivos SVG maliciosos más simples contienen una o varias líneas de texto con hipervínculos, como «Haga clic para abrir».
Otros archivos construidos de manera más elaborada tienen imágenes incrustadas diseñadas para hacerse pasar por marcas conocidas.
Los enlaces llevan a las víctimas a páginas de phishing alojadas en dominios controlados por el atacante. Casi todas las páginas observadas estaban bloqueadas con un CAPTCHA de CloudFlare para evitar visitas automáticas.
Los sitios también obtienen previamente el contenido del cuadro de diálogo de inicio de sesión de Office365 y presentan al objetivo todas las animaciones esperadas que son familiares para un usuario de O365.
Cuando el objetivo ingresa sus datos de inicio de sesión, la mayoría de los sitios capturan inmediatamente el texto ingresado y lo exfiltran directamente al dominio que aloja el iFrame en el que aparece el cuadro de diálogo de inicio de sesión.
En algunos casos, las credenciales se transmitieron a varios sitios simultáneamente. Una sesión incluso pasó las credenciales a un bot de Telegram utilizando la API del servicio de mensajería.

Nuevas técnicas de phishing que eluden la seguridad

El uso de archivos gráficos para robar credenciales y entregar malware destaca las nuevas tácticas de phishing que se emplean para eludir las defensas.
Esto incluye los tipos de enlaces y archivos maliciosos utilizados, como los códigos QR, que están diseñados para evadir las defensas basadas en el reconocimiento óptico de caracteres (OCR).
La suplantación de dominios para hacerse pasar por marcas también se ha convertido en algo habitual.

En julio de 2024, Guardio Labs informó de que los ciberdelincuentes explotaron una configuración modificable en el servicio de protección de correo electrónico de Proofpoint. Esto permitió a los actores de amenazas crear correos electrónicos que imitaban los relés de correo electrónico oficiales de Proofpoint con firmas autenticadas de Sender Policy Framework (SPF) y DomainKeys Identified Mail (DKIM).

Los investigadores de Check Point revelaron en diciembre de 2024 que los ciberdelincuentes eludieron las medidas de seguridad del correo electrónico mediante el uso de Google Calendar y Drawings para enviar invitaciones aparentemente legítimas que contenían enlaces maliciosos.

Los atacantes también se han vuelto más expertos en eludir las protecciones de autenticación multifactor (MFA) durante las campañas de phishing.

En una campaña reciente observada por Abnormal Security, los atacantes aprovecharon páginas de inicio de sesión falsificadas para robar credenciales y eludir la MFA mediante Microsoft Active Directory Federation Services (ADFS), una solución de inicio de sesión único.

Fuente y redacción: segu-info.com.ar

Cómo funcionan los ataques de phishing SVG

Nuevas técnicas de phishing que eluden la seguridad

Ticketmaster pagará una multa de $ 10 millones por piratear una empresa rival.

Conoce a fondo qué es el phishing

Hacker tuvo acceso a 100 millones de cuentas de banco de EE.UU.