English
Los ciberdelincuentes han encontrado nuevas formas de aprovechar archivos SVG en ataques de phishing y campañas de clickjacking. Recientemente, se detectó un caso particularmente sofisticado que demuestra cómo estos archivos, que parecen simples imágenes, pueden ser manipulados con fines maliciosos.
A diferencia de otros formatos gráficos, los archivos SVG están escritos en XML, lo que les permite contener código HTML y JavaScript. Esto los convierte en un vector atractivo para los atacantes, ya que pueden incorporar scripts que ejecuten acciones ocultas.
Otro detalle que facilita este tipo de ataques es que, en equipos con Windows, los archivos SVG se abren automáticamente con Microsoft Edge, sin importar cuál sea el navegador predeterminado. Como muchos usuarios suelen navegar con Chrome u otros navegadores, Edge puede pasar inadvertido y carecer de protecciones adicionales como bloqueadores de anuncios o filtros web.
Cómo funciona el ataque detectado
En el archivo malicioso identificado como RECElPT.SVG, los atacantes insertaron un script disfrazado con nombres relacionados con recetas de cocina, como “menuIngredients” o “saladBowl”, para ocultar sus intenciones.
El código utilizaba una técnica de ofuscación para redirigir al usuario a una página de phishing. Una vez abierta la imagen, se ejecutaba un proceso que decodificaba caracteres y finalmente redirigía al objetivo hacia la URL:
window.location.replace("https://outuer.devconptytld[.]com.au/");
En este sitio, la víctima encontraba primero una pantalla de verificación “Verify you’re not a robot”, lo que añadía una capa de legitimidad antes de llevarla a la siguiente fase. Si el usuario avanzaba, se transmitía su dirección de correo electrónico al servidor, y es muy probable que el paso final incluyera un formulario falso de inicio de sesión de Microsoft 365 u Outlook, diseñado para robar credenciales.
Observaciones clave sobre la campaña
- Se identificaron múltiples versiones del archivo SVG desde el 26 de agosto de 2025.
- Los ataques eran dirigidos: la dirección de correo de la víctima estaba incrustada en el archivo.
- El dominio fraudulento parece ser un caso de typosquatting de la compañía legítima Devcon Pty Ltd, una táctica común en ataques de Business Email Compromise (BEC).
- El certificado TLS del dominio malicioso fue emitido el 24 de agosto de 2025 y tiene una validez de 3 meses.
Cómo protegerse de los ataques con archivos SVG
- Recuerda que los archivos SVG no siempre son simples imágenes.
- Trátalos con la misma precaución que cualquier otro adjunto sospechoso: no los abras hasta confirmar con el remitente.
- Verifica siempre la dirección web antes de ingresar credenciales, o utiliza un gestor de contraseñas, que no autocompletará datos en sitios falsos.
- Implementa protección antimalware en tiempo real con componentes de seguridad web que bloqueen dominios maliciosos.
- Refuerza tu seguridad de correo electrónico con soluciones capaces de detectar y aislar adjuntos sospechosos.
