Microsoft ha alertado sobre una sofisticada campaña de phishing dirigida principalmente a organizaciones en los Estados Unidos. Esta campaña se caracteriza por el uso de archivos SVG (Scalable Vector Graphics) maliciosos, cuyo código ha sido generado, presumiblemente, con la ayuda de modelos de lenguaje grandes (LLM). El objetivo principal de esta técnica es ofuscar el payload y eludir las medidas de seguridad tradicionales.
El equipo de Microsoft Threat Intelligence ha detectado que la actividad maliciosa se oculta dentro de un archivo SVG, aprovechando terminología empresarial y una estructura sintética para disfrazar su verdadera intención. Esto demuestra cómo los ciberdelincuentes están adoptando herramientas de inteligencia artificial (IA) para mejorar sus ataques, creando señuelos de phishing más convincentes, automatizando la ofuscación de malware y generando código que imita contenido legítimo.
En el ataque, los actores maliciosos comprometen cuentas de correo electrónico empresariales y las utilizan para enviar mensajes de phishing diseñados para robar credenciales. Estos mensajes simulan ser notificaciones de archivos compartidos, incitando a los usuarios a abrir un archivo que aparenta ser un documento PDF, pero que en realidad es un archivo SVG. Una característica notable es el uso de la técnica de auto-envío, donde las direcciones del remitente y el destinatario coinciden, ocultando a los verdaderos destinatarios en el campo BCC para evitar detecciones básicas.
Los archivos SVG son atractivos para los atacantes porque son archivos de texto que permiten la inclusión de JavaScript y otros contenidos dinámicos, facilitando la entrega de payloads interactivos de phishing que parecen benignos. Además, el formato SVG soporta características como elementos invisibles, atributos codificados y ejecución retardada de scripts, lo que dificulta el análisis estático y el sandboxing.
Una vez que se abre el archivo SVG, redirige al usuario a una página que solicita una verificación CAPTCHA, tras la cual es probable que se le dirija a una página de inicio de sesión falsa para recolectar sus credenciales. La particularidad de este ataque reside en su método de ofuscación, que emplea lenguaje relacionado con los negocios para enmascarar el contenido de phishing en el archivo SVG, lo que sugiere la utilización de un LLM.
Microsoft Security Copilot analizó el código y determinó que “no es algo que un humano escribiría normalmente desde cero debido a su complejidad, verbosidad y falta de utilidad práctica”. Entre los indicadores que respaldan esta conclusión se encuentran el uso de nombres excesivamente descriptivos y redundantes para funciones y variables, una estructura de código altamente modular y sobre-ingenierizada, comentarios genéricos y extensos, técnicas formularias para la ofuscación utilizando terminología empresarial, y la inclusión de CDATA y declaraciones XML en el archivo SVG para simular ejemplos de documentación.
En INGENIERÍA TELEMÁTICA SAS, estamos al tanto de estas amenazas emergentes y nos mantenemos actualizados con las últimas técnicas de ciberseguridad. Ofrecemos soluciones integrales de protección, incluyendo firewalls, FortiAnalyzer, FortiManager, FortiSwitch, FortiAP y EDR/XDR, que pueden ayudar a su organización a defenderse contra este tipo de ataques sofisticados. Si desea proteger su infraestructura y datos contra las últimas amenazas, le invitamos a contactarnos a través de nuestro formulario de contacto o por los medios habituales si ya es cliente.
Fuente original: Ver aquí