Abuso de archivos adjuntos SVG
31 de marzo de 2025
Por Rikesh Vekaria, Marcin Ulikowski y el equipo de investigación de amenazas de Mimecast
Qué aprenderá en esta notificación
- Campaña en la que se utilizan gráficos vectoriales escalables (SVG) con redireccionamientos mediante JavaScript
- Se redirige a los usuarios a páginas destinadas a el robo de credenciales o a la descarga de malware
Rikesh Vekaria, Marcin Ulikowski y los investigadores de amenazas de Mimecast han identificado recientemente varias campañas que utilizan archivos adjuntos en formato SVG (Scalable Vector Graphics) en ataques de phishing dirigidos a obtener credenciales. SVG es un formato de imagen basado en XML que admite código JavaScript incrustado. Esto permite, por ejemplo, la interactividad &, las animaciones, los controladores de eventos y la manipulación del DOM mediante scripts incrustados. Los autores de amenazas están aprovechando las capacidades del formato SVG para incrustar código JavaScript malicioso en archivos adjuntos a correos electrónicos que, al abrirse, se ejecutan y redirigen a los usuarios a sitios de phishing o pueden descargar malware.
A continuación se muestra un ejemplo sencillo de cómo se puede utilizar esto:
Los autores de amenazas ya han utilizado anteriormente archivos adjuntos en formato HTML de manera similar para redirigir a los usuarios a páginas de phishing; sin embargo, este rápido cambio hacia los archivos SVG podría llevar a los usuarios a pensar que un archivo de imagen es más inofensivo que un archivo adjunto en formato HTML. Además, es más probable que los archivos adjuntos en formato SVG no se sometan a un control tan riguroso como los archivos HTML y los ejecutables. Al analizar los códigos JavaScript de los archivos SVG, el equipo de investigación ha identificado varios tipos de técnicas de ofuscación, desde la codificación Base64 hasta la criptografía simétrica, con el fin de eludir la detección.
Se han llevado a cabo varias campañas utilizando este método, una de las cuales recurre al reclamo de un mensaje de voz. Una vez que el usuario abra el archivo adjunto, se le redirigirá a una página de inicio de sesión para que pueda escuchar la nota de voz.
Un ejemplo similar redirige al usuario a través de varias etapas, comenzando por un CAPTCHA en el que se le pide que interactúe con la página. Esta técnica sigue utilizándose habitualmente para eludir los sistemas de detección de seguridad.
A continuación, se redirigirá al usuario a otra página, en la que deberá hacer clic en un botón que abre un supuesto archivo PDF para acceder a la página final destinada a la sustracción de credenciales.
Estas campañas se observaron a principios de febrero y se llevan a cabo con un volumen relativamente elevado. En las últimas dos semanas se han registrado más de dos millones de detecciones, con un pico alrededor de los días 17 y 18 de marzo.
Protección de Mimecast
Hemos identificado varios atributos en las campañas recientes que se han incorporado a nuestras capacidades de detección. Seguimos vigilando los cambios que se producen en las técnicas utilizadas en los archivos SVG.
Objetivos:
Global, todas las industrias
IOC
Asuntos:Hay un nuevo mensaje de voz de Contabilidad de Proveedores disponible para escuchar. Se requiere su intervención: notificación importante sobre credenciales.
Dominios utilizados en la página de phishing:
jihancock[.]sterliingasi[.]com
aqra[.]qdjcpol[.]ru
si3[.]kpvjzzh[.]es
testing[.]lannaathai[.]org
jutebagbd[.]com
ceimatarials[.]com
03b23e85b7de4d5389af11db025c4ee2387446d17217ac569485784d3de8b15a 27f81fc31fff3171545925224a53014644e3b3ea0a1ccec508e3a576816fa7e4 5ef2acf3419a3088fa8096f87b2a186bc06c0e9157dcbb7a57da20cf83926c19 78ea3ffd759f8404331b40b1167aec64b723ecdad43dfc807fa398bbc403b485 75a69423bf73f9ade0235d24d46b341d6d1e74e7bd8f851ee3d6f4e9462da0cd
Recomendaciones
- Evaluar los requisitos de adjuntar archivos SVG
- Analizar e identificar los usos empresariales legítimos de los archivos SVG adjuntos
- Modifique su política de gestión de archivos adjuntos de Mimecast para bloquear o poner en cuarentena específicamente los archivos adjuntos con la extensión .svg extensión: considere la posibilidad de configurar reglas detalladas basadas en los dominios de los remitentes, permitiendo los archivos SVG únicamente de socios de confianza si son fundamentales para la empresa
- Informe a los usuarios de que nunca deben abrir archivos adjuntos procedentes de remitentes desconocidos o no verificados
- Implemente una política que exija la verificación del remitente a través de un canal de comunicación alternativo antes de abrir archivos adjuntos no esperados
- Formación sobre concienciación de seguridad para usuarios
- Elaborar módulos de formación específicos en los que se expongan los riesgos de los ataques de phishing basados en SVG
- Realice simulaciones periódicas de phishing que incluyan escenarios de ataque basados en SVG
- Caza proactiva de amenazas
- Busque en los registros de recibos de correo electrónico utilizando filtros específicos para los asuntos de los mensajes de phishing
- Revise diariamente sus registros de seguridad web, prestando especial atención a las conexiones con los dominios de phishing identificados