**Ciberdelincuentes suplantan a la Policía Nacional de Ucrania para distribuir Amatera Stealer y PureMiner mediante SVG maliciosos**
—
### 1. Introducción
En el panorama actual de ciberamenazas, las campañas de suplantación de identidad se han sofisticado notablemente, integrando técnicas de ingeniería social avanzadas y la explotación de formatos de archivo poco convencionales. Un reciente incidente ha puesto en alerta a la comunidad de ciberseguridad: actores maliciosos están suplantando a la Policía Nacional de Ucrania para desplegar *Amatera Stealer* y *PureMiner*, utilizando archivos SVG (Scalable Vector Graphics) como vector inicial de infección. Este ataque, que combina la manipulación de la confianza institucional con la explotación de vulnerabilidades en la gestión de archivos gráficos, representa un riesgo significativo para usuarios y empresas, especialmente en el contexto del conflicto geopolítico en la región.
—
### 2. Contexto del Incidente
El incidente fue detectado por analistas de seguridad tras observar un aumento en los reportes de correos electrónicos fraudulentos que aparentaban proceder de la Policía Nacional de Ucrania. El modus operandi de los atacantes consiste en enviar comunicaciones oficiales falsas, frecuentemente en ucraniano y ruso, solicitando la colaboración ciudadana en investigaciones o notificando supuestas incidencias legales. Estos mensajes incluyen archivos adjuntos en formato SVG, un tipo de archivo vectorial comúnmente utilizado para gráficos web, que los usuarios normalmente no asocian con riesgos de seguridad.
La campaña ha mostrado una orientación principalmente regional, afectando a usuarios ucranianos y de países limítrofes, aunque no se descarta su extensión a otras geografías aprovechando la internacionalización de las amenazas y la facilidad de traducción automática en campañas de phishing.
—
### 3. Detalles Técnicos
#### Vulnerabilidades y CVEs
Hasta el momento, no se ha atribuido esta campaña a la explotación de una vulnerabilidad específica tipo CVE en los visores de SVG más populares, pero sí se aprovecha la capacidad de los archivos SVG para embeber scripts (por ejemplo, JavaScript). Este vector de ataque ha sido catalogado por MITRE ATT&CK bajo la técnica **T1204.002 (User Execution: Malicious File)** y **T1566.001 (Phishing: Spearphishing Attachment)**.
#### Vector de Ataque
1. **Phishing avanzado:** Los correos suplantan el dominio y la imagen corporativa de la Policía Nacional de Ucrania.
2. **Archivo SVG malicioso:** El archivo adjunto incluye código JavaScript ofuscado que, al ser abierto en navegadores vulnerables o ciertos visores de SVG, ejecuta instrucciones para descargar y ejecutar payloads adicionales.
3. **Payloads desplegados:**
– **Amatera Stealer**, un malware de robo de información que exfiltra credenciales, cookies y datos almacenados en navegadores.
– **PureMiner**, una variante de criptominero que aprovecha los recursos del sistema para minar criptomonedas, principalmente Monero.
#### Indicadores de Compromiso (IoC)
– Hashes de archivos SVG maliciosos.
– Dominios de C2 (Command & Control) asociados a la infraestructura de los atacantes.
– Comportamiento anómalo de procesos relacionados con navegadores y ejecución de scripts en entornos no habituales.
#### Herramientas y frameworks
Se ha detectado uso de herramientas de automatización y scripts personalizados para la creación y distribución masiva de los SVG, así como posibles módulos de Metasploit para la entrega de payloads y Cobalt Strike para el control post-explotación.
—
### 4. Impacto y Riesgos
El impacto potencial de esta campaña es considerable. Según estimaciones preliminares, al menos un 8% de los usuarios que recibieron los correos han interactuado con los archivos SVG maliciosos, comprometiendo credenciales e información sensible. En el caso de empresas, se ha reportado la interrupción de servicios críticos y un incremento del consumo de recursos computacionales por la actividad del minero.
A nivel económico, se estima que los daños derivados de la pérdida de productividad y el robo de datos podrían superar los 250.000 euros en las primeras semanas de actividad, sin contar con las potenciales multas por incumplimiento de la GDPR o la Directiva NIS2 en caso de filtración de datos personales.
—
### 5. Medidas de Mitigación y Recomendaciones
– **Bloqueo de archivos SVG en correo electrónico**: Configurar gateways de correo para filtrar y bloquear archivos SVG adjuntos.
– **Actualización y parcheo**: Mantener navegadores y visores de SVG actualizados para evitar la ejecución de scripts no autorizados.
– **Monitorización de IoC**: Implementar reglas de detección en SIEM y EDR para los hashes y dominios identificados.
– **Sensibilización**: Realizar campañas internas de concienciación sobre los riesgos de abrir archivos no solicitados, incluso si parecen proceder de fuentes oficiales.
– **Segmentación de red**: Limitar el acceso a recursos críticos desde estaciones de trabajo susceptibles.
—
### 6. Opinión de Expertos
Expertos en ciberinteligencia, como el analista principal de ESET, señalan que la elección del formato SVG es “particularmente insidiosa, ya que explota la confianza en archivos gráficos y la baja percepción de riesgo”. Desde el CERT de Ucrania advierten de la creciente profesionalización de las campañas de phishing y recomiendan la adopción de protocolos de autenticación reforzada en las comunicaciones oficiales.
—
### 7. Implicaciones para Empresas y Usuarios
La campaña evidencia la necesidad de revisar las políticas de gestión de archivos adjuntos y la configuración de los sistemas de correo. Tanto empresas como usuarios particulares deben extremar la precaución ante comunicaciones no solicitadas, incluso de organismos públicos. Para las organizaciones sujetas a GDPR y NIS2, la gestión proactiva de estas amenazas es esencial para evitar sanciones y daños reputacionales.
—
### 8. Conclusiones
El uso de archivos SVG maliciosos en campañas de suplantación institucional representa una tendencia al alza en el arsenal de los cibercriminales. La combinación de ingeniería social, explotación de formatos poco vigilados y despliegue de malware multifuncional como Amatera Stealer y PureMiner obliga a los equipos de ciberseguridad a reforzar sus controles, mejorar la formación interna y afinar las capacidades de detección y respuesta. La vigilancia constante y la actualización de las defensas tecnológicas son, una vez más, la mejor línea de defensa frente a amenazas en evolución.
(Fuente: www.darkreading.com)