Los actores de amenazas utilizan cada vez más archivos adjuntos de gráficos vectoriales escalables (SVG) para mostrar formularios de phishing o implementar malware mientras evaden la detección.
La mayoría de las imágenes en la web son archivos JPG o PNG, formados por cuadrículas de pequeños cuadrados llamados píxeles. Cada píxel tiene un valor de color específico y juntos estos píxeles forman la imagen completa.
SVG, o gráficos vectoriales escalables, muestra imágenes de manera diferente porque, en lugar de usar píxeles, las imágenes se crean usando líneas, formas y texto descrito en fórmulas matemáticas basadas en texto en el código.
Por ejemplo, el siguiente texto creará un rectángulo, un círculo, un enlace y un texto:
<svg width="200" height="200" xmlns="
<!-- A rectangle -->
<rect x="10" y="10" width="100" height="50" fill="blue" stroke="black" stroke-width="2" />
<!-- A circle -->
<circle cx="160" cy="40" r="40" fill="red" />
<!-- A line -->
<line x1="10" y1="100" x2="200" y2="100" stroke="green" stroke-width="3" />
<!-- A text -->
<text x="50" y="130" font-size="20" fill="black">Hello, SVG!</text>
</svg>
Cuando se abre en un navegador, el archivo generará los gráficos descritos en el texto anterior.
Fuente: BleepingComputer
Al ser imágenes vectoriales, su tamaño cambia automáticamente sin pérdida de calidad ni forma, lo que las hace ideales para usar en aplicaciones de navegador que pueden tener diferentes resoluciones.
Utilice archivos adjuntos SVG para evadir la detección
El uso de archivos adjuntos SVG en campañas de phishing no es nada nuevo, y BleepingComputer informó su uso en campañas anteriores de malware Qbot y como una forma de ocultar scripts maliciosos.
Sin embargo, según un investigador de seguridad, los actores de amenazas utilizan cada vez más archivos SVG en sus campañas de phishing. Equipo MalwareHunterquien compartió muestras recientes [1, 2] con BleepingComputer.
Estos ejemplos, y otros vistos por BleepingComputer, ilustran cuán versátiles pueden ser los archivos adjuntos SVG, ya que no solo le permiten mostrar gráficos, sino que también pueden usarse para mostrar HTML, usando el elemento
Esto permite a los delincuentes crear archivos adjuntos SVG que no solo muestran imágenes, sino que también crean formularios de phishing para robar credenciales.
Como se muestra a continuación, un archivo adjunto SVG reciente [VirusTotal] muestra una hoja de cálculo de Excel falsa con un formulario de inicio de sesión integrado que, una vez enviado, envía los datos a los actores de amenazas.
Fuente: BleepingComputer
Otros archivos adjuntos SVG utilizados en una campaña reciente [VirusTotal] afirman ser documentos oficiales o solicitudes de información adicional, lo que le solicita que haga clic en el botón de descarga, que luego descarga malware desde un sitio remoto.
Fuente: BleepingComputer
Otras campañas utilizan archivos adjuntos SVG y JavaScript integrado para redirigir automáticamente a los navegadores a sitios que alojan formularios de phishing cuando se abre la imagen.
El problema es que debido a que estos archivos son en su mayoría solo representaciones de texto de imágenes, el software de seguridad no suele detectarlos. De las muestras vistas por BleepingComputer y cargadas en VirusTotal, tienen como máximo una o dos detecciones por parte del software de seguridad.
Dicho esto, recibir un archivo adjunto SVG no es común en correos electrónicos legítimos y debe tratarse con sospecha de inmediato.
A menos que sea un desarrollador y espere recibir este tipo de archivos adjuntos, lo más seguro es eliminar todos los correos electrónicos que los contengan.
