sep 05, 2025Ravie Lakshmananmalware / criptomonedas cibernéticas Los investigadores han marcado una nueva campaña de malware que ha aprovechado los archivos de gráficos vectoriales escalables (SVG) como parte de los ataques de phishing que se sufre el sistema judicial colombiano. Los archivos SVG, según Virustotal, se distribuyen por correo electrónico y están diseñados para ejecutar una carga útil de JavaScript incrustada, que luego decodifica e inyecta una página de phishing HTML codificada Base64 disfrazada de portal para el general de la fiscalía de la Nación, la Oficina del Fiscal General de Colombia. Luego, la página simula un proceso oficial de descarga de documentos del gobierno con una barra de progreso falsa, mientras que desencadena sigilosamente la descarga de un archivo zip en el fondo. No se reveló la naturaleza exacta del archivo zip. El servicio de escaneo de malware propiedad de Google dijo que encontró 44 archivos SVG únicos, todos los cuales no han sido detectados por motores antivirus, debido al uso de técnicas como la ofuscación, el polimorfismo y grandes cantidades de código basura para evadir los métodos de detección estática. En total, se han detectado hasta 523 archivos SVG en la naturaleza, con la primera muestra que se remonta al 14 de agosto de 2025. «Mirando más profundo, vimos que las muestras más tempranas eran más grandes, alrededor de 25 MB, y el tamaño disminuyó con el tiempo, lo que sugiere que los atacantes estaban evolucionando sus cargas útiles», dijo Virustotal. La divulgación se produce cuando las versiones descifradas de software legítimo y tácticas de estilo ClickFix se están utilizando para atraer a los usuarios a infectar sus sistemas Apple MacOS con un robador de información llamado Atomic Macos Stealer (AMOS), exponiendo a las empresas al relleno de credenciales, un robo financiero y otros ataques de seguimiento. «AMOS está diseñado para un amplio robo de datos, capaz de robar credenciales, datos del navegador, billeteras de criptomonedas, chats de telegrama, perfiles VPN, elementos de llavero, notas de Apple y archivos de carpetas comunes», dijo Trend Micro. «Amos muestra que MacOS ya no es un objetivo periférico. A medida que los dispositivos MacOS ganan terreno en entornos empresariales, se han convertido en un enfoque más atractivo y lucrativo para los atacantes». La cadena de ataque esencialmente implica dirigir a los usuarios que buscan software descifrado en sitios como HAXMAC[.]CC, redirigirlos a enlaces de descarga falsos que proporcionan instrucciones de instalación diseñadas para engañarlos en la ejecución de comandos maliciosos en la aplicación Terminal, lo que desencadena la implementación de AMOS. Vale la pena señalar que Apple evita la instalación de archivos .dmg que carecen de notarización adecuada debido a las protecciones de Gatekeeper de MacOS, que requieren que los paquetes de aplicación sean firmados por un desarrollador identificado y notarizado por Apple. «Con el lanzamiento de MacOS Sequoia, los intentos de instalar archivos .dmg maliciosos o sin firmar, como los utilizados en las campañas de AMOS, están bloqueados de forma predeterminada», agregó la compañía. «Si bien esto no elimina el riesgo por completo, especialmente para los usuarios que pueden pasar por alto las protecciones incorporadas, plantea la barrera de infecciones exitosas y obliga a los atacantes a adaptar sus métodos de entrega». Esta es la razón por la cual los actores de amenaza están depositando cada vez más en ClickFix, ya que permite que el robador se instale en la máquina utilizando el terminal mediante un comando CURL especificado en la página de descarga de software. «Si bien las protecciones de Gatekeeper mejoradas de MacOS Sequoia bloquearon con éxito las infecciones tradicionales basadas en .DMG, los actores de amenaza giraron rápidamente a los métodos de instalación basados ​​en terminales que demostraron ser más efectivos para evitar los controles de seguridad», dijo Trend Micro. «Este cambio resalta la importancia de las estrategias de defensa en profundidad que no dependen únicamente de las protecciones del sistema operativo incorporado». El desarrollo también sigue el descubrimiento de una «campaña cibernética extensa» que está dirigida a los jugadores en busca de trucos con el robador de robo de Stealc y el malware de robo de criptografía, lo que obtiene a los actores de amenaza de más de $ 135,000. Según Cyberark, la actividad es notable por aprovechar las capacidades del cargador de Stealc para descargar cargas útiles adicionales, en este caso, un robador de criptomonedas que puede desviar los activos digitales de los usuarios en máquinas infectadas.