Los cibercriminales ocultan malware en imágenes SVG para eludir antivirus.
Se encontraron más de 500 archivos SVG maliciosos que contenían malware oculto.
Investigadores en ciberseguridad han detectado una nueva amenaza donde archivos SVG maliciosos son utilizados para imitar sitios web reales del sistema judicial de Colombia, con el objetivo de engañar a las víctimas y hacer que descarguen software dañino.
La detección provino de VirusTotal, una plataforma que ha incorporado el soporte para archivos SVG en su herramienta de análisis impulsada por inteligencia artificial. Los archivos SVG, o Scalable Vector Graphics, son imágenes que mantienen su calidad al ser redimensionadas y pueden contener no solo formas, sino también scripts y códigos embebidos. Esto permite a los atacantes ocultar código JavaScript o enlaces maliciosos dentro de un archivo SVG, lo que podría resultar en descargas no autorizadas o redirecciones de phishing al abrirse en un navegador.
En esta campaña en particular, más de 500 archivos SVG se abren en un navegador y muestran un sitio que simula ser del sistema judicial colombiano, además de incluir una barra de progreso de descarga falsa. Una vez que se completa la simulación de descarga, se solicita a los usuarios que guarden un archivo ZIP protegido por contraseña en sus dispositivos.
El ataque se propaga principalmente a través de mensajes de phishing que fingen ser un correo electrónico de orden judicial. VirusTotal informó que "el portal falso se presenta tal como se describe, simulando un procedimiento de descarga de un documento oficial del gobierno." El sitio de phishing presenta números de caso, tokens de seguridad y elementos visuales diseñados para generar confianza, todo ello incrustado en un archivo SVG.
El archivo ZIP descargado contiene un ejecutable legítimo del navegador Comodo Dragon, renombrado para parecer un documento judicial oficial, junto con un DLL malicioso y dos archivos cifrados. Al ejecutar el navegador, se activa el DLL, instalando malware adicional en el sistema de la víctima.
Hasta ahora, no se conoce mucha información sobre las víctimas, pero se presume que la mayoría son colombianas. Este no es el primer caso en que los archivos SVG son utilizados para ataques de phishing; en febrero de 2025, expertos alertaron sobre un aumento de incidentes que involucraban archivos .SVG en correos adjuntos.
