Según un nuevo estudio de Sophos, los cibercriminales han aumentado el uso de
archivos gráficos para difundir enlaces maliciosos y malware durante los
ataques de phishing por correo electrónico.
Se ha observado que los atacantes utilizan el formato de archivo gráfico SVG
(gráficos vectoriales escalables) para este propósito. Los SVG contienen
instrucciones de texto similares a XML (lenguaje de marcado extensible) para
dibujar imágenes vectoriales redimensionables en una computadora.
La táctica está diseñada para eludir las herramientas convencionales de
protección de puntos finales o de correo electrónico. Algunas herramientas
antispam pueden no considerar los archivos SVG como una amenaza porque están
pensados como archivos gráficos. «Incluso en los casos en que estas herramientas inspeccionan y analizan los
archivos SVG, los actores de amenazas pueden estar utilizando archivos SVG
porque algunos tipos de tecnología de escaneo de contenido pueden no
reconocer los patrones o la forma en que se construye el contenido malicioso
dentro del archivo SVG».
Los archivos SVG ofrecen una serie de ventajas para los actores de amenazas:
- Se abren en el navegador predeterminado de las computadoras Windows
-
Pueden contener etiquetas de anclaje, secuencias de comandos y otros tipos
de contenido web activo, lo que permite a los atacantes incluir una etiqueta
de anclaje que se vincula a una página web alojada en otro lugar -
Se pueden usar para dibujar una variedad de formas y gráficos, lo que
permite a los atacantes hacerse pasar por múltiples entidades
El formato SVG proporciona a los actores de amenazas otro conjunto de
metodologías para ocultar u ofuscar contenido malicioso en el interior. Los
investigadores observaron por primera vez la propagación de archivos SVG
adjuntos maliciosos a fines de 2024 y este enfoque se ha acelerado desde
mediados de enero de 2025.
Cómo funcionan los ataques de phishing SVG
Sophos dijo que ha observado que los atacantes usan múltiples líneas de asunto
y señuelos para incitar a los objetivos a hacer clic en imágenes SVG
maliciosas.
-
Estos señuelos incluían nuevos mensajes de voz, contratos, confirmación de
pago e inscripción en salud y beneficios. -
Los ataques también se hacen pasar por varias marcas y servicios conocidos,
incluidos DocuSign, Microsoft SharePoint, Dropbox y Google Voice. -
Además, se descubrieron versiones que apuntaban a distintos idiomas, según
el dominio de nivel superior del destinatario. -
Los archivos SVG maliciosos más simples contienen una o varias líneas de
texto con hipervínculos, como «Haga clic para abrir». -
Otros archivos construidos de manera más elaborada tienen imágenes
incrustadas diseñadas para hacerse pasar por marcas conocidas. -
Los enlaces llevan a las víctimas a páginas de phishing alojadas en dominios
controlados por el atacante. Casi todas las páginas observadas estaban
bloqueadas con un CAPTCHA de CloudFlare para evitar visitas automáticas. -
Los sitios también obtienen previamente el contenido del cuadro de diálogo
de inicio de sesión de Office365 y presentan al objetivo todas las
animaciones esperadas que son familiares para un usuario de O365. -
Cuando el objetivo ingresa sus datos de inicio de sesión, la mayoría de los
sitios capturan inmediatamente el texto ingresado y lo exfiltran
directamente al dominio que aloja el iFrame en el que aparece el cuadro de
diálogo de inicio de sesión. -
En algunos casos, las credenciales se transmitieron a varios sitios
simultáneamente. Una sesión incluso pasó las credenciales a un bot de
Telegram utilizando la API del servicio de mensajería.
Nuevas técnicas de phishing que eluden la seguridad
-
El uso de archivos gráficos para robar credenciales y entregar malware
destaca las nuevas tácticas de phishing que se emplean para eludir las
defensas. -
Esto incluye los tipos de enlaces y archivos maliciosos utilizados, como los
códigos QR, que están diseñados para evadir las defensas basadas en el
reconocimiento óptico de caracteres (OCR). -
La suplantación de dominios para hacerse pasar por marcas también se ha
convertido en algo habitual.
En julio de 2024,
Guardio Labs informó
de que los ciberdelincuentes explotaron una configuración modificable en el
servicio de protección de correo electrónico de Proofpoint. Esto permitió a
los actores de amenazas crear correos electrónicos que imitaban los relés de
correo electrónico oficiales de Proofpoint con firmas autenticadas de Sender
Policy Framework (SPF) y DomainKeys Identified Mail (DKIM).
Los investigadores de
Check Point revelaron en diciembre de 2024
que los ciberdelincuentes eludieron las medidas de seguridad del correo
electrónico mediante el uso de Google Calendar y Drawings para enviar
invitaciones aparentemente legítimas que contenían enlaces maliciosos.
Los atacantes también se han vuelto más expertos en eludir las protecciones de
autenticación multifactor (MFA) durante las campañas de phishing.
En una
campaña reciente observada por Abnormal Security, los atacantes aprovecharon páginas de inicio de sesión falsificadas para
robar credenciales y eludir la MFA mediante Microsoft Active Directory
Federation Services (ADFS), una solución de inicio de sesión único.
Fuente:
InfoSecurity