Los atacantes ocultan JavaScript en imágenes SVG para atraer a los usuarios a sitios maliciosos

Una nueva forma de ciberataque está en aumento, y los piratas informáticos ahora utilizan archivos de imágenes Scalable Vector Graphics (SVG) aparentemente inofensivos para introducir código malicioso a través de las defensas tradicionales, según revela la última investigación del equipo de Ontinue Advanced Threat Operations.

Esta técnica, denominada "Contrabando SVG" por los investigadores, utiliza estos archivos de imagen, generalmente inofensivos, para redirigir a los usuarios a sitios web controlados por el atacante sin su conocimiento. Los hallazgos de Ontinue, compartidos con Hackread.com, destacan estos ataques dirigidos, dirigidos principalmente a proveedores de servicios B2B, incluyendo empresas que manejan datos corporativos confidenciales (como información financiera y de empleados), servicios públicos y proveedores de SaaS , todos frecuentemente vulnerables debido al alto volumen de correo electrónico.

El ataque comienza con correos electrónicos engañosos creados por ciberdelincuentes que utilizan temas como "Lista de tareas", "Llamada perdida" o notificaciones de "Pago". Se trata de correos electrónicos de phishing muy convincentes que parecen provenir de fuentes o personas de confianza, aprovechando medidas de seguridad deficientes o inexistentes, como SPF (Marco de políticas de remitente), DKIM (Correo identificado por claves de dominio) y DMARC (Autenticación, informes y conformidad de mensajes basados en dominio).

Todos estos son métodos de autenticación de correo electrónico diseñados para verificar que un correo electrónico sea legítimo y no haya sido falsificado. En ocasiones, los atacantes incluso utilizan dominios falsos (direcciones web que se parecen mucho a las legítimas) para engañar a los usuarios.

El archivo SVG malicioso puede adjuntarse directamente al correo electrónico o vincularse como una imagen externa. Los correos electrónicos suelen ser muy simples para evitar sospechas y animar al destinatario a abrir el SVG, lo que activa el script oculto.

Los atacantes utilizan dominios temporales de baja reputación con subdominios aleatorios para alojar su infraestructura maliciosa, lo que dificulta su rastreo y bloqueo. Esta amenaza en constante evolución implica la incrustación de código JavaScript oculto y ofuscado en archivos SVG, a menudo dentro de... Secciones. Cuando un usuario abre o previsualiza un SVG en un navegador web, el script oculto se ejecuta silenciosamente.

Este script, que utiliza una clave XOR estática para descifrar su carga útil, utiliza funciones integradas del navegador como window.location.href (que modifica la dirección de la página web actual) y atob() (que decodifica datos codificados) para enviar a la víctima a un sitio fraudulento. La URL de redirección final suele incluir cadenas codificadas en Base64, probablemente utilizadas para el seguimiento o la correlación de víctimas.

Según los expertos en seguridad de Ontinue, esta técnica elude muchas herramientas comunes ocultando código dañino en imágenes. Para contrarrestarla, las organizaciones deben activar funciones de Microsoft Defender como Enlaces Seguros, Archivos Adjuntos Seguros, políticas antiphishing y Purga Automática de Hora Cero (ZAP). Reforzar la seguridad del correo electrónico con DMARC , alineación SPF/DKIM, bloqueo de archivos adjuntos SVG o desarme de contenido es vital. La monitorización de dominios similares y la formación de los usuarios sobre los riesgos de SVG también son pasos cruciales para mantenerse protegidos.

Esta es una nueva versión de la técnica de usar archivos de imagen para distribuir contenido sospechoso, en este caso, PDF maliciosos. Los atacantes deben confiar en la complacencia ("es solo una imagen, no ejecuta código") para convencer a las organizaciones de que acepten este contenido e ingresen a la red " , declaró John Bambenek , presidente de Bambenek Consulting.

“ Si bien este informe y esta investigación son valiosos para las empresas, y la búsqueda es valiosa para los equipos de búsqueda, las organizaciones sin personal de seguridad o consumidores finales seguirán siendo vulnerables al ciberdelito convencional con esta técnica ” , agregó.