AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Campaña de phishing en archivos SVG suplanta al sistema judicial de Colombia para distribuir malware

admin

Introducción

Una reciente investigación de VirusTotal ha sacado a la luz una sofisticada campaña de phishing que utiliza archivos SVG maliciosos para simular portales legítimos del sistema judicial colombiano. Esta amenaza, detectada a finales de mayo de 2024, pone de manifiesto la evolución de las técnicas de ingeniería social y el aprovechamiento de formatos aparentemente inocuos para evadir controles de seguridad tradicionales. El uso de imágenes SVG como vector de ataque representa un reto significativo para los equipos de ciberseguridad, dada su capacidad de incrustar código JavaScript y enlaces maliciosos sin levantar sospechas inmediatas.

Contexto del Incidente

Colombia ha experimentado un incremento en ataques dirigidos a instituciones gubernamentales y usuarios del sector legal. En este contexto, los actores de amenazas han optado por explotar la confianza en el sistema judicial, enviando correos electrónicos que simulan ser notificaciones oficiales, citaciones o resoluciones legales. Los mensajes adjuntan archivos SVG o incluyen enlaces que redirigen al usuario a páginas de descarga de estos ficheros. Una vez abiertos, los SVG generan portales falsos con la apariencia del sitio web de la Rama Judicial de Colombia, solicitando la descarga de documentos adicionales o la introducción de credenciales.

Detalles Técnicos

El componente central de esta campaña es la utilización de archivos SVG (Scalable Vector Graphics), un formato basado en XML que permite la incrustación de scripts y enlaces externos. En los SVG analizados, se ha identificado la presencia de código JavaScript ofuscado que, al renderizarse en el navegador, despliega formularios fraudulentos o redirige a payloads maliciosos.

CVE y vectores de ataque

Hasta la fecha, no se ha asignado un CVE específico a esta campaña, ya que explota características legítimas del estándar SVG y no una vulnerabilidad de software. Sin embargo, el vector de ataque principal se basa en la manipulación de la función « dentro del SVG para ejecutar código JavaScript malicioso. Esta técnica ha sido catalogada por MITRE ATT&CK bajo los siguientes TTPs:

– T1566.001 (Phishing: Spearphishing Attachment)
– T1204.002 (User Execution: Malicious File)
– T1192 (Spearphishing Link)

Indicadores de Compromiso (IoC)

– Dominios de descarga que simulan ser parte de la Rama Judicial (ejemplo: rama-judicial[.]co[.]com)
– Hashes SHA256 de SVG identificados como maliciosos (disponibles en el reporte de VirusTotal)
– URLs de payload que distribuyen troyanos bancarios y RATs (Remote Access Trojans)

Herramientas y frameworks utilizados

En la fase de explotación, se ha detectado la utilización de kits de phishing personalizados y, en algunos casos, la integración con frameworks como Metasploit para la entrega de cargas útiles. Algunos SVG han sido vinculados a la descarga de ejecutables diseñados en AutoIt y scripts PowerShell ofuscados.

Impacto y Riesgos

El impacto potencial de esta campaña es elevado, especialmente para usuarios del sector legal, despachos de abogados y organismos gubernamentales. El uso de portales falsos permite la recolección de credenciales, información confidencial e incluso la instalación de malware en los equipos de las víctimas. Entre los riesgos detectados destacan:

– Compromiso de cuentas corporativas y acceso a sistemas internos
– Robo de información sensible relacionada con procedimientos judiciales
– Propagación lateral mediante movimientos posteriores (lateral movement)
– Cumplimiento normativo: posible violación del GDPR y la Ley 1581 de Protección de Datos Personales en Colombia

Según datos de VirusTotal, cerca del 3,5% de los análisis recientes de archivos SVG en la región andina presentan actividad sospechosa, lo que subraya la tendencia al alza de este método.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo asociado a esta campaña, se recomienda:

– Bloqueo de archivos SVG en gateways de correo electrónico y sistemas de filtrado web, salvo excepciones justificadas
– Desactivación de la ejecución de scripts en archivos SVG desde navegadores corporativos
– Actualización de firmas de antivirus y soluciones EDR para la detección de SVG maliciosos
– Concienciación y formación continua a usuarios sobre el riesgo de archivos gráficos adjuntos, especialmente en comunicaciones no solicitadas
– Implementación de autenticación multifactor (MFA) en sistemas críticos
– Monitorización proactiva de IoC y dominios falsificados

Opinión de Expertos

Analistas de seguridad de VirusTotal y consultores independientes coinciden en que el uso malicioso de SVG representa una tendencia emergente que requiere ajustes en las políticas de seguridad perimetral. “La facilidad para incorporar JavaScript en SVG y la baja sospecha que estos archivos generan entre usuarios hace que sean ideales para campañas de phishing dirigidas”, señala Javier Martínez, analista SOC en una firma internacional. Por su parte, especialistas de la comunidad forense destacan la necesidad de integrar análisis estático y dinámico de archivos gráficos en los flujos de trabajo de los equipos de respuesta ante incidentes.

Implicaciones para Empresas y Usuarios

Las organizaciones del sector legal y gubernamental deben revisar sus procedimientos de gestión de correo electrónico y establecer controles estrictos sobre los tipos de archivos permitidos. Los usuarios, especialmente aquellos con acceso a información sensible, deben ser instruidos para detectar señales de suplantación y evitar la descarga de archivos gráficos no solicitados. Un compromiso a través de esta campaña podría acarrear sanciones regulatorias bajo GDPR o NIS2, además de daños reputacionales y económicos significativos.

Conclusiones

La campaña de phishing dirigida al sistema judicial colombiano mediante archivos SVG marca una evolución en las técnicas de ingeniería social y evasión de controles. Suplantar portales institucionales y aprovechar las capacidades interactivas de SVG supone un reto para los profesionales de ciberseguridad, que deben reforzar tanto la protección tecnológica como la formación de los usuarios. La vigilancia continua, la actualización de políticas y la colaboración sectorial serán claves para mitigar el impacto de amenazas similares en el futuro.

(Fuente: www.bleepingcomputer.com)