- Correus que suplanten la Fiscalia a Colòmbia distribueixen adjunts SVG com a esquer.
- Arxius personalitzats per víctima, automatització i indicis d'ús d'IA compliquen la detecció.
- La cadena d'infecció acaba desplegant AsyncRAT mitjançant DLL sideloading.
- S'han vist 44 SVG únics i més de 500 artefactes des de l'agost, amb una baixa detecció inicial.
A Amèrica Llatina s'ha observat una onada de campanyes malicioses amb Colòmbia com a epicentre, on correus que aparenten provenir d'organismes oficials distribueixen arxius inusuals per infectar ordinadors.
El ganxo és el de sempre.enginyeria social amb citacions o demandes falses—, però el mode de lliurament ha fet un salt: adjunts SVG amb lògica incrustada, plantilles automatitzades i senyals que apunten a processos assistits per IA.
Una operació que apunta usuaris a Colòmbia
Els missatges suplanten a entitats com la Fiscalia General de la Nació i inclouen un fitxer .svg la mida del qual —sovint superior a 10 MB— ja hauria de despertar sospites. En obrir-lo, en lloc d'un document legítim apareix una interfície que simula tràmits oficials amb barres de progrés i suposades verificacions.
Després d'uns segons, el mateix navegador guarda un ZIP protegit amb contrasenya, mostrada clarament dins del mateix arxiu, reforçant la posada en escena d'un procediment “formal”. En una de les mostres analitzades (SHA-1: 0AA1D24F40EEC02B26A12FBE2250CAB1C9F7B958), les solucions de seguretat d'ESET la van identificar com JS/TrojanDropper.Agent.PSJ.
L'enviament no és massiu amb un únic adjunt: cada destinatari rep un SVG diferent, amb dades aleatòries que ho tornen única. Aquest “polimorfisme” dificulta tant el filtratge automàtic com el treball dels analistes.
Les telemetries mostren pics d'activitat a meitat de setmana durant l'agost, amb més incidència en usuaris ubicats a Colòmbia, cosa que suggereix una campanya sostinguda dirigida a aquest país.
El paper del fitxer SVG i el truc del smuggling
Un SVG és un format d'imatge vectorial basat en XML. Aquesta flexibilitat —text, estils i scripts dins del mateix fitxer— permet que els atacants incorporin codi i dades ocultes sense necessitat de recursos externs visibles, tècnica coneguda com a “SVG smuggling” i documentada a MITRE ATT&CK.
En aquesta campanya, l'engany s'executa dins del mateix SVG: es renderitza una falsa pàgina informativa amb controls i missatges que, en finalitzar, fan que el navegador guardi un paquet ZIP amb un executable que inicia el següent pas de la infecció.
Quan la víctima executa el contingut descarregat, la cadena avança mitjançant Càrrega lateral de DLL: un binari legítim carrega, sense saber-ho, una biblioteca manipulada que passa desapercebuda i permet a l'actor continuar amb la intrusió.
El propòsit final és instal·lar AsyncRAT, un troià d'accés remot capaç de registrar pulsacions, exfiltrar fitxers, capturar pantalla, controlar càmera i micròfon i robar credencials emmagatzemades a navegadors.
Automatització i empremtes d'IA a les plantilles
El marcatge dels SVG analitzats revela frases genèriques, camps buits de maqueta i classes excessivament descriptives, a més de substitucions cridaneres —com símbols oficials per emojis— que cap portal real faria servir.
També apareixen contrasenyes en clar i suposats “hashes de verificació” que no són més que cadenes MD5 sense validesa pràctica. Tot apunta a kits prefabricats oa plantilles generades de forma automàtica per produir adjunts en sèrie amb mínim esforç humà.
Evasió i números de la campanya
Les plataformes dintercanvi de mostres han comptabilitzat almenys 44 SVG únics empleats en l'operació i més de 500 artefactes relacionats des de mitjans d'agost. Les primeres variants eren pesades —al voltant de 25 MB— i es van anar “afinant” amb el temps.
Per esquivar controls, les mostres usen ofuscació, polimorfisme i grans quantitats de codi de farciment que confonen les anàlisis estàtiques, cosa que es va traduir en baixa detecció inicial per part de diversos motors.
L'ús de marcadors en espanyol dins de l'XML i patrons repetits va permetre als investigadors crear regles de caça i firmes que, aplicades de manera retrospectiva, van vincular centenars d'enviaments a la mateixa campanya.
Un segon vector: fitxers SWF combinats
En paral·lel es van observar fitxers SWF disfressats de minijoc 3D, amb mòduls ActionScript i rutines AES que barrejaven lògica funcional amb components opacs; una tàctica que eleva llindars heurístics i retarda la seva classificació com a maliciosos.
El duo SWF+SVG va actuar com pont entre formats heretats i moderns: mentre el SWF confonia els motors, el SVG injectava una pàgina HTML de phishing codificada i deixava un ZIP addicional sense interacció de l'usuari més enllà del clic inicial.
La combinació de mostres personalitzades per víctima, arxius voluminosos i tècniques de smuggling explica que els filtres basats en reputació o patrons simples no hagin frenat la difusió a les primeres onades.
El que dibuixen aquestes troballes és una operació que aprofita al màxim el format SVG per suplantar organismes colombians, automatitza la creació d'adjunts i culmina amb AsyncRAT mitjançant DLL sideloading. Davant de qualsevol correu amb “citacions” que inclogui un arxiu .svg o contrasenyes en clar, el més sensat és desconfiar i validar per canals oficials abans d'obrir res.
Sóc un apassionat de la tecnologia que ha convertit els seus interessos frikis en professió. Porto més de 10 anys de la meva vida utilitzant tecnologia d'avantguarda i traslladant tota mena de programes per pura curiositat. Ara he especialitzat en tecnologia d'ordinador i videojocs. Això és perquè des de fa més de 5 anys que treballo redactant per a diverses webs en matèria de tecnologia i videojocs, creant articles que busquen donar-te la informació que necessites amb un llenguatge comprensible per tothom.
Si tens qualsevol pregunta, els meus coneixements van des de tot allò relacionat amb el sistema operatiu Windows així com Android per a mòbils. I és que el meu compromís és amb tu, sempre estic disposat a dedicar-te uns minuts i ajudar-te a resoldre qualsevol dubte que tinguis a aquest món d'internet.