VirusTotal detecta campaña de phishing oculta en archivos SVG que imitan al sistema judicial de Colombia

Resumen de la detección

VirusTotal ha identificado una campaña de phishing que utiliza archivos SVG para desplegar portales falsos que se hacen pasar por el sistema judicial de Colombia y que, además de recopilar credenciales, sirven como vector para la entrega de malware. Los archivos SVG analizados crean páginas convincentes que inducen a las víctimas a interactuar —por ejemplo, ingresando credenciales— y, en ciertos casos, desencadenan la descarga o ejecución de código malicioso.

Cómo funciona la técnica y por qué es efectiva

Los SVG (Scalable Vector Graphics) son ficheros basados en XML que originalmente se usan para gráficos vectoriales en la web. A diferencia de formatos de imagen como PNG o JPEG, un archivo SVG puede contener elementos activos: etiquetas HTML, enlaces y, en algunos contextos, scripts. Esto lo convierte en un contenedor potencialmente abusable para ataques de ingeniería social y para la entrega de carga útil maliciosa.

• Los atacantes aprovechan la flexibilidad del formato para incrustar interfaces visuales realistas (por ejemplo, formularios de inicio de sesión) dentro del propio SVG.
• Cuando el SVG se visualiza en un navegador o en un visor que procesa su contenido activo, la página renderizada puede parecer un sitio legítimo y así inducir al usuario a suministrar credenciales u otros datos sensibles.
• El mismo SVG puede contener o activar recursos externos (scripts, redirecciones, data URIs) que descargan o ejecutan malware, o que redirigen a páginas de phishing alojadas en servidores remotos.

Contexto y antecedentes: por qué importa

El uso de formatos aparentemente benignos para ocultar phishing y malware no es novedoso, pero su persistencia y evolución suponen un desafío continuo. Las tácticas que emplean contenedores “no ejecutables” o formatos de imagen para ejecutar código han sido observadas por la industria en diferentes campañas, y su eficacia radica en la percepción de seguridad por parte del usuario final.

En el ámbito de la suplantación de instituciones públicas, los atacantes confían en la confianza institucional para aumentar la tasa de éxito: los correos o archivos que supuestamente proceden de un tribunal, una fiscalía o un organismo gubernamental suelen recibir menos sospecha y generan reacciones rápidas, como abrir un archivo o seguir un enlace.

Análisis experto y recomendaciones para profesionales de seguridad

Para equipos de seguridad y respuesta a incidentes, esta campaña ilustra varias lecciones operativas:

• Detección y análisis:
  • Los escáneres estáticos pueden fallar si el SVG está ofuscado o si contiene referencias externas cuya carga ocurre solo en tiempo de ejecución. Es esencial complementar el análisis estático con sandboxing dinámico que renderice el SVG en condiciones controladas y capture comportamientos de red y de proceso.
  • Correlacionar las firmas y los IOCs (dominios, hashes, URLs) con servicios como VirusTotal y feeds de inteligencia puede acelerar la identificación de campañas y la creación de reglas de bloqueo.
• Prevención y endurecimiento:
  • Filtrar adjuntos y descargas no solo por extensión, sino inspeccionando el contenido. Considerar bloquear o sanitizar SVG entrantes en canales de correo y descarga, o convertirlos a formatos seguros (por ejemplo, rasterizar a PNG en servidores proxy) cuando sea práctico.
  • Aplicar políticas de Content Security Policy (CSP) y deshabilitar la ejecución de scripts inline en contextos donde no se requieran.
  • Habilitar autenticación multifactor (MFA) universal para cuentas críticas, de modo que la captura de credenciales por phishing no sea suficiente para el acceso.
• Respuesta y mitigación:
  • En caso de detección, poner en cuarentena las muestras y ejecutar un análisis forense en entornos aislados para determinar la carga útil y la técnica de persistencia.
  • Notificar a los usuarios afectados, forzar el restablecimiento de credenciales y revisar registros de acceso para detectar acceso no autorizado.
  • Compartir IOCs con la comunidad (proveedores de seguridad, CSIRTs y, cuando proceda, autoridades nacionales) para ampliar la protección colectiva.

Casos comparables y panorama general

El uso de archivos que, a primera vista, parecen inofensivos —como PDFs, imágenes o documentos ofimáticos— para ocultar amenazas es una práctica conocida y recurrida por los atacantes. En años recientes, la industria ha visto campañas que abusan de formatos con capacidades de scripting o de incrustación (por ejemplo, macros en documentos Office, o SVG y HTML incrustados). La eficacia de estas tácticas se mantiene porque explotan lagunas operativas en filtros, la complejidad del análisis y la confianza del usuario.

De forma más general, el phishing continúa siendo una de las principales puertas de entrada para incidentes de seguridad en entornos corporativos y gubernamentales. La suplantación de organismos oficiales, en particular, tiende a atraer la atención por el impacto potencial y por la facilidad con la que puede provocar reacciones precipitadas por parte de los usuarios.

Riesgos e implicaciones

Las implicaciones de esta campaña son múltiples:

• Exposición de credenciales: los portales clonados pueden recoger nombres de usuario y contraseñas, facilitando la escalada de acceso o el movimiento lateral en infraestructura comprometida.
• Distribución de malware: además del robo de información, el mecanismo puede servir para desplegar troyanos, puertas traseras o herramientas de exfiltración.
• Confianza institucional dañada: suplantar a entidades judiciales puede generar confusión en la ciudadanía y reducir la capacidad de comunicación legítima de dichas instituciones.
• Detección y respuesta más complejas: el uso de formatos híbridos dificulta tanto la detección automática como el análisis manual, elevando el coste y el tiempo de respuesta para los equipos de seguridad.

Recomendaciones prácticas para organizaciones y usuarios

Medidas concretas que deberían implementar las organizaciones y los profesionales:

• Tecnología: bloquear o sanitizar archivos SVG en los puntos de entrada (correo, portales de carga), habilitar sandboxing para la inspección dinámica y actualizar reglas en gateways y proxies.
• Política: definir y aplicar políticas que limiten la ejecución de contenido activo desde archivos recibidos externamente; exigir MFA en todos los accesos administrativos y en servicios críticos.
• Monitorización: vigilar logs de autenticación y de red para detectar patrones anómalos tras campañas de phishing; configurar alertas para accesos desde ubicaciones inusuales.
• Formación: reforzar la concienciación de empleados y ciudadanos sobre la suplantación de entidades oficiales y sobre la sospecha ante adjuntos inusuales, incluso cuando aparenten ser documentos gráficos.
• Cooperación: compartir indicadores y muestra con proveedores y equipos de respuesta para mejorar la detección y bloquear infraestructura maliciosa.

Conclusión

La campaña detectada por VirusTotal subraya la necesidad de tratar con cautela formatos que históricamente se consideran “inofensivos”, como los SVG. Para mitigar este tipo de amenazas son imprescindibles controles técnicos (sanitización, sandboxing, MFA), vigilancia activa y formación de usuarios. El intercambio de inteligencia y la rápida actualización de defensas reducirán la ventana de explotación y limitarán el impacto de futuras campañas que se aprovechen de la confianza en instituciones públicas.

Source: www.bleepingcomputer.com