Según una nueva investigación de Sophos, los cibercriminales han aumentado el uso de archivos gráficos para difundir enlaces maliciosos y malware durante ataques de phishing por correo electrónico.
La táctica está diseñada para eludir las herramientas convencionales de protección de puntos finales o de correo.
Se ha observado que los atacantes utilizan el formato de archivo gráfico Scalable Vector Graphics (SVG) para este propósito. Los SVG contienen instrucciones de texto similares al lenguaje de marcado extensible (XML) para dibujar imágenes redimensionables basadas en vectores en una computadora.
Los archivos SVG brindan una variedad de ventajas para los actores de amenazas:
- Se abren en el navegador predeterminado en las computadoras Windows.
- Pueden contener etiquetas de anclaje, secuencias de comandos y otros tipos de contenido web activo, lo que permite a los atacantes incluir una etiqueta de anclaje que se vincula a una página web alojada en otro lugar.
- Se pueden usar para dibujar una variedad de formas y gráficos, lo que permite a los atacantes hacerse pasar por múltiples entidades.
Los investigadores observaron por primera vez la propagación de archivos SVG maliciosos adjuntos a fines de 2024 y este enfoque se ha acelerado desde mediados de enero de 2025.
Sophos dijo que ha observado que los atacantes usan múltiples líneas de asunto y señuelos para incitar a las víctimas a hacer clic en imágenes SVG maliciosas.
Estos señuelos incluían nuevos mensajes de voz, contratos, confirmación de pago e inscripción en salud y beneficios.
Los ataques también se hacen pasar por varias marcas y servicios conocidos, incluidos DocuSign, Microsoft SharePoint, Dropbox y Google Voice.
Además, se descubrieron versiones que apuntaban a diferentes idiomas, según el dominio de nivel superior del destinatario.
Los archivos SVG maliciosos más simples contienen una o varias líneas de texto con hipervínculos, como «Haga clic para abrir».
Otros archivos construidos de manera más elaborada tienen imágenes incrustadas diseñadas para hacerse pasar por marcas conocidas.
Los enlaces llevan a las víctimas a páginas de phishing alojadas en dominios controlados por el atacante. Casi todas las páginas observadas estaban bloqueadas con un CAPTCHA de CloudFlare para evitar visitas automáticas.
Los sitios también obtienen previamente el contenido del cuadro de diálogo de inicio de sesión de Office365 de login.live.com y presentan al objetivo todas las animaciones esperadas que son familiares para un usuario de O365.
Cuando el objetivo ingresa sus datos de inicio de sesión, la mayoría de los sitios capturan inmediatamente el texto ingresado y lo exfiltran directamente al dominio que aloja el iFrame en el que aparece el cuadro de diálogo de inicio de sesión.
En algunos casos, las credenciales se transmitieron a varios sitios simultáneamente. Una sesión incluso pasó las credenciales a un bot de Telegram utilizando la API del servicio de mensajería.
El uso de archivos gráficos para robar credenciales y distribuir malware destaca las nuevas tácticas de phishing que se emplean para eludir las defensas.
Esto incluye los tipos de enlaces y archivos maliciosos utilizados, como los códigos QR, que están diseñados para evadir las defensas basadas en el reconocimiento óptico de caracteres (OCR).
La suplantación de dominios para hacerse pasar por marcas también se ha vuelto algo común.
