Las campañas de phishing por correo electrónico han evolucionado constantemente para evadir las medidas de seguridad implementadas por usuarios y organizaciones. Una táctica emergente es el uso de archivos SVG o Scalable Vector Graphics, como adjuntos en correos electrónicos maliciosos, diseñada para eludir la detección y comprometer la seguridad de los destinatarios.
Los archivos SVG son gráficos vectoriales escalables que utilizan texto basado en XML para describir imágenes mediante formas, líneas y texto. A diferencia de los formatos de imagen rasterizados como JPEG o PNG, que dependen de píxeles, los SVG permiten una escalabilidad infinita sin pérdida de calidad. Además, debido a su naturaleza basada en texto, pueden contener código, incluyendo JavaScript, lo que los hace susceptibles de ser explotados por atacantes.
Uso de archivos SVG en campañas de phishing
Según un apunta BleepingComputer, los ciberdelincuentes han incrementado el uso de archivos SVG en correos electrónicos de phishing para evadir las soluciones de seguridad tradicionales. Estos archivos pueden contener formularios de phishing o scripts maliciosos que se ejecutan cuando el destinatario abre el archivo, comprometiendo potencialmente su sistema.
Por ejemplo, los atacantes pueden incrustar código JavaScript dentro de un archivo SVG que, al abrirse, redirige al usuario a una página de phishing diseñada para robar credenciales o información personal.
Esta técnica aprovecha la capacidad de los SVG para contener código ejecutable, lo que permite a los atacantes ocultar sus intenciones maliciosas dentro de un formato de archivo comúnmente considerado seguro.
Casos documentados de ataques con archivos SVG
En diciembre de 2022, investigadores de Cisco Talos observaron una campaña de phishing que utilizaba archivos SVG para distribuir el malware QBot. Los atacantes enviaban correos electrónicos con archivos HTML adjuntos que contenían imágenes SVG codificadas en Base64. Al abrir el archivo, el código JavaScript incrustado ensamblaba y descargaba un instalador malicioso en el sistema de la víctima. Esta técnica, conocida como «HTML smuggling», permite a los atacantes evadir las soluciones de seguridad que inspeccionan el tráfico de red en busca de contenido malicioso.
Otro ejemplo es la campaña de phishing «Blank Image» reportada por Avanan en enero de 2023. Los atacantes enviaban correos electrónicos que aparentaban ser documentos de DocuSign, con archivos HTML adjuntos que contenían imágenes SVG vacías. Estas imágenes no mostraban contenido visible, pero contenían código JavaScript que redirigía al usuario a sitios de phishing. Esta técnica de ofuscación dificultaba la detección por parte de las soluciones de seguridad tradicionales.
Cómo reconocer y protegerse contra estos ataques
Para mitigar el riesgo de ser víctima de ataques de phishing que utilizan archivos SVG, es esencial adoptar las siguientes prácticas:
Educación y concienciación
Es importante capacitar a los empleados y usuarios sobre los riesgos asociados con archivos adjuntos inesperados, incluso aquellos con extensiones aparentemente inofensivas como SVG.
Políticas de correo electrónico estrictas
Implementar políticas que bloqueen o filtren correos electrónicos con archivos adjuntos sospechosos, especialmente aquellos que contienen código ejecutable.
Actualizaciones de software
Mantener actualizados todos los programas y sistemas operativos para protegerse contra vulnerabilidades conocidas que los atacantes puedan explotar.
Soluciones de seguridad avanzadas
Utilizar herramientas de seguridad que analicen el contenido de los archivos adjuntos en busca de comportamientos sospechosos, en lugar de basarse únicamente en listas de extensiones de archivos.
Verificación de fuentes
Antes de abrir cualquier archivo adjunto, verificar la legitimidad del remitente y la relevancia del contenido. Si no esperas un archivo, confirma con el remitente antes de abrirlo.
Deshabilitar la ejecución de scripts
Configura los visores de imágenes y navegadores para que no ejecuten automáticamente scripts incrustados en archivos SVG u otros formatos.
Los ciberdelincuentes continúan innovando en sus métodos para evadir la detección y comprometer la seguridad de los usuarios. El uso de archivos SVG en campañas de phishing es una táctica que aprovecha la capacidad de estos archivos para contener código ejecutable, eludiendo las soluciones de seguridad tradicionales. ¡Mucho cuidado
