Recientemente investigadores de seguridad han descubierto una campaña de phishing que utiliza SVG manipulados para ejecutar JavaScript malicioso directamente al abrirlos.
¿Qué es un archivo SVG?
Generalmente algunas campañas de phishing utilizan archivos SVG (Scalable Vector Graphics) Estos son ataques cibernéticos donde se colocan imágenes SVG para engañar a los usuarios y robar información sensible. Generalmente suelen ser inofensivos y son utilizados para mostrar gráficos en la web, estas pueden contener código malicioso que redirige a páginas de phishing o incluso descarga de malware.
¿Cómo funcionan estas campañas?
El primer paso se basa en el cibercriminal enviando un correo electrónico que parece legítimo, adjuntando un archivo SVG con un nombre que imita archivos comunes como una factura.
A la hora de que la víctima abre el archivo en cuestión, el código malicioso incrustado en él se ejecuta, redirigiendo al usuario a una página de inicio de sesión falsa que imita a un sitio web legitimo.
Una vez en la pagina phishing, el usuario ingresa sus credenciales las cuales son robadas por el atacante.
¿Por qué los SVG son tan peligrosos?
Los SVG sin gráficos vectoriales basados en XML, es decir texto estructurado, no un simple archivo de imagen. Esto les permite a los cibercriminales incorporar etiquetas script y código activo que se ejecuta al ser renderizado en un navegador.
Muchos de los sistemas como Secure Email Gateways (SEG) y antivirus analizan los SVG solo como imágenes, sin detectar su contenido dinámico.
Esto hace más fácil que el JavaScript malicioso se ejecute sin ser filtrado, aprovechando funciones como onload, document.write o direcciones directas.
Categorías de ataque
Redirectores: SVG con JavasScript que envía a la víctima a una página externa como phishing.
Auto-phishing: SVG que contiene internamente todo el portal de phishing vía Base64.
Inyección DOM: SVG malicioso es una página legítima, usa document.write, roba cookies/datos.
Recomendaciones
- Configurar SEGs y EDR para analizar contenido <script> en archivos SVG, no solo detectar que sean imágenes.
- Bloquear SVG adjuntos o forzar previsualización segura.
- Entrenar a los usuarios para reconocer archivos SVG sospechosos enviados por correo.
- Reforzar la cultura de precaución ante documentos inesperados.
