Los investigadores de seguridad cibernética han descubierto una nueva campaña de phishing que aprovechan los archivos SVG para entregar ataques de redirección basados en JavaScript. El ataque utiliza archivos de imagen aparentemente benignos para ocultar la lógica de secuencias de comandos ofuscadas que redirige a los usuarios a dominios maliciosos sin requerir la descarga de archivos o interacción del usuario. Según un nuevo aviso publicado hoy por Ontinue, a diferencia de los métodos de phishing tradicionales que eliminan ejecutables o usan documentos cargados de macro, esta campaña incorpora a JavaScript en la sección de un archivo SVG. Una vez abierto en un navegador, el código descifra una carga útil secundaria utilizando una tecla XOR estática y luego redirige al usuario a un sitio controlado por el atacante a través de la función Window.location.href. Estas URL a menudo incluyen cadenas codificadas Base64 para el seguimiento de las víctimas. Los correos electrónicos que distribuyen estos SVG se envían utilizando direcciones o dominios falsificados que imitan las marcas legítimas. Muchos de los dominios de los destinatarios carecían de controles adecuados de autenticación de correo electrónico, que incluyen: «Este es un nuevo giro en la técnica de usar archivos de imagen para entregar contenido sospechoso, en este caso, en PDF maliciosos», dijo John Bambenek, presidente de Bambenek Consulting. «Los atacantes tienen que confiar en la complacencia (‘es solo una imagen, no ejecuta el código’) para arrullar a las organizaciones para que acepten este contenido y lo obtengan en el interior de una red». Tácticas de evasión e infraestructura Los atacantes han integrado la geofencing en sus páginas de destino y usan dominios aleatorios de corta duración para mantenerse por delante de las técnicas de detección estática. La carga útil a menudo se aloja externamente o se adjunta directamente al correo electrónico, con contenido mínimo en el cuerpo del mensaje para evitar sospechas. Lea más sobre tácticas de phishing dirigidas a la infraestructura corporativa: el phishing validado con precisión eleva los riesgos de robo de credenciales a diferencia de las amenazas anteriores basadas en SVG que se basan en cargas útiles alojadas o compartir archivos de terceros, esta campaña se ejecuta completamente dentro del navegador del cliente. Al evitar las caídas ejecutables y aprovechar las funciones web confiables, evita muchas herramientas de detección de puntos finales. «Los defensores deben colapsar la antigua distinción entre código y contenido», advirtió Jason Soroko, miembro senior de Sectigo. «Trate a cada SVG entrante como un ejecutable potencial. Splote o bloquee las etiquetas de script. Haga cumplir la estricta alineación de DMARC y el correo cuestionable de la telemetría del instrumento para atrapar los pivotes del navegador desencadenados por los cambios de ubicación de la ventana que se originan en las vistas previas de la imagen». Objetivos y recomendaciones de la campaña La campaña de phishing parece centrarse en los proveedores de servicios B2B con acceso a datos sensibles financieros y de empleados. Esto incluye: «Si bien este informe y la investigación es valioso para las empresas, y la búsqueda valiosa para los equipos de caza, las organizaciones sin personal de seguridad o los consumidores finales seguirán siendo vulnerables al delito cibernético convencional con esta técnica», agregó Bambenek. Para mitigar la amenaza, OnTinue recomienda habilitar enlaces seguros y archivos adjuntos seguros, hacer cumplir DMARC, bloquear los SVG y educar a los usuarios sobre archivos accesorios arriesgados.