En un mundo donde las imágenes se utilizan para informar o entretener, una nueva generación de ataques de phishing las utiliza para engañar y robar. Un informe reciente de Trustwave SpiderLabs revela un aumento del 1.800 % en los ataques de phishing que utilizan archivos SVG (gráficos vectoriales escalables) como medios de distribución.
Estos archivos de imagen, ligeros y aparentemente inofensivos, se están convirtiendo en la herramienta predilecta de los ciberdelincuentes para el robo de credenciales, la distribución de malware y la elusión de la autenticación multifactor.
Los archivos SVG se utilizan en toda la web para crear iconos y logotipos nítidos. A diferencia de los formatos PNG o JPEG, los SVG se basan en XML y pueden incrustar JavaScript, lo que les permite transportar código interactivo o, en este caso, scripts maliciosos. «Los ciberdelincuentes aprovechan esta característica insertando scripts maliciosos directamente en los archivos SVG, lo que permite el acceso no autorizado, el robo de datos y la vulneración de la identidad».
Los archivos SVG se procesan de forma nativa en los navegadores, y la mayoría de los clientes de correo electrónico no los escanean ni los protegen, lo que los convierte en vectores ideales para el phishing.
En una campaña, los atacantes imitaron una notificación de correo de voz de Microsoft Teams. El correo electrónico de phishing parecía legítimo e instaba a los usuarios a descargar un supuesto archivo adjunto de audio: un archivo .SVG malicioso.
«A pesar de su extensión .SVG, el archivo está diseñado para parecer un mensaje de voz… Al hacer clic, ejecuta un código de redirección incrustado que lleva a los usuarios a una página de inicio de sesión falsa de Office 365.»
El script utilizaba la etiqueta SVG <foreignObject> y ofuscación Base64, eludiendo las herramientas tradicionales de seguridad del correo electrónico. Al abrirse, la imagen mostraba un logotipo falso de Microsoft y redirigía a las víctimas a una página de recolección de credenciales.
Esta campaña estaba vinculada a Mamba2FA, un grupo de phishing como servicio (PhaaS) conocido por su capacidad para eludir las protecciones de MFA.
El phishing basado en SVG ahora se ve impulsado por sofisticadas plataformas de phishing como servicio (PaaS) como:
- Tycoon2FA
- Mamba2FA
- Sneaky2FA
Estos kits permiten a los atacantes:
- Integrar scripts ofuscados de varias capas en SVG
- Realizar phishing de tipo «Ataque en el Intermedio» (AiTM)
- Redireccionar a los usuarios a páginas que eluden la autenticación multifactor (MFA) y recopilan credenciales
«El aumento del phishing en SVG sugiere que los actores de amenazas están expandiendo continuamente sus tácticas para eludir las medidas de seguridad más allá de los códigos QR y los métodos tradicionales, incluyendo enlaces, HTML y ataques basados en documentos», concluye el informe. Para combatir esta amenaza, Trustwave SpiderLabs recomienda un enfoque multifacético:
- Evalúar la opción de bloquear correos electrónicos con archivos adjuntos en SVG o, como mínimo, marcarlos con una advertencia.
- Tener cuidado con los archivos adjuntos y enlaces: sospechar de los archivos inesperados y los enlaces incrustados.
- Verificar la autenticidad de los remitentes y el contenido.
- Capacitar a los empleados regularmente.
- Implementar sistemas robustos de filtrado y detección de amenazas.
- Implementar métodos de autenticación multifactor (MFA) con capas adicionales
- Reforzar las defensas con métodos resistentes al phishing.
Fuente: SecurityOnline
