Un vector antiguo para ataques nuevos: cómo los archivos SVG ofuscados redirigen a las víctimas

Los archivos Scalable Vector Graphics se han convertido en una nueva tendencia para que los atacantes evadan las detecciones de spam y phishing. El formato de archivo SVG se utiliza para mostrar gráficos vectoriales y animaciones que pueden redimensionarse sin perder resolución, y por defecto se abre en un navegador web en Windows. Sin embargo, estos archivos utilizan XML para describir la imagen, a diferencia de los formatos de imagen rasterizados más comunes como JPEG y PNG. El uso de XML en estos archivos introduce la posibilidad de incrustar JavaScript y los convierte en un vector de ataque para actividades maliciosas.

Los archivos SVG maliciosos emplean dos tácticas principales para manejar la interacción del usuario y la redirección: archivos SVG incrustados en línea, que se muestran en el cliente de correo electrónico con botones de llamada a la acción que abren un navegador y redirigen a sitios de phishing, y archivos adjuntos independientes, que los usuarios pueden abrir o guardar por separado, lo que desencadena una redirección automática en el navegador. En este blog nos centraremos en la segunda técnica, que evade las protecciones de escaneo de URLs del cliente de correo electrónico.

Las campañas recientes de phishing que utilizan archivos SVG como vector de ataque han tenido una variedad de temas: notas de voz y mensajes, escaneos de impresoras, avisos de remesas y detalles de transferencias bancarias. En esta publicación nos enfocaremos en 4 campañas, destacando los cebos y las técnicas de ofuscación utilizadas para evadir las detecciones.

Análisis de la tendencia de archivos SVG maliciosos

Como se muestra en la figura 1 a continuación, el uso malicioso de archivos SVG se ha disparado en los últimos días en comparación con los 3 meses anteriores. En particular, desde el 17 de marzo hemos observado grandes campañas de phishing con casi 500 mensajes por día:

Fig. 1 - Recuento total de archivos SVG bloqueados cada día del 1 de enero al 26 de marzo

Campaña SVG 10 - 11 de marzo

10 – 11 de marzo
Asunto: []VM: [+1786703****] intentó comunicarse contigo el [11/03] reproducción disponible

Fig. 2 - Correo de phishing con archivo SVG mostrando un cebo de mensaje de voz

Esta campaña difiere de las campañas posteriores ya que el archivo SVG contiene una cantidad considerable de gráficos vectoriales reales y texto para mostrar el cebo del mensaje de voz en el cliente de correo. Junto con el cebo visual, el archivo SVG incluye un ECMAScript incrustado, que es un estándar de lenguaje de scripting sobre el cual se construye JavaScript y que aún es compatible en sus componentes básicos por los navegadores casi 30 años después de su lanzamiento.

El ECMAScript contiene una codificación hexadecimal básica para ocultar la URL de redirección de phishing, la cual debe abrirse en un navegador para que se ejecute.

Fig. 3 - ECMAScript del archivo SVG con codificación hexadecimal y decodificación de caracteres

La URL de redirección está alojada en las conocidas páginas gratuitas de Cloudflare pages[.]dev. La URL de destino muestra una página de validación de bots de Cloudflare y el contenido de phishing no estaba disponible al momento del análisis. Recientemente hemos registrado muchas campañas maliciosas que utilizan free webhosts como pages[.]dev, lo cual está alineado con la predicción de X-Labs' 2025 Future Insights.

Indicadores de compromiso (IOCs) de la campaña

• Remitente sospechoso: TOBi@tobincenter[.]org
• SHA1 del SVG: 69c9937ae2ddb81a55385aadb3751e572026fa5d
• URL de redirección: hxxps://abe87c29.46b20494-8a43-4c49-8a51-bc2a41cc9c27-e624a29b-c629-4f2f-99.pages[.]dev/voiceseses
• URL de destino: hxxps://vacilandos[.]com/?&

Campaña SVG del 17 de marzo

17 de marzo
Asunto: Recordatorio: Sus documentos solicitados para firma –03849828052163mClWG
Esta campaña eliminó los gráficos vectoriales y utilizó un simple (aunque mal dimensionado) elemento de rectángulo SVG con el texto: “Loading Electronic Signature Required...”

Fig. 4 - Correo con archivo SVG mostrando una caja de texto básica y mal dimensionada

El archivo SVG en esta campaña no tiene ofuscación, con una simple función setTimeout y una URL de phishing codificada en texto plano:

Fig. 5 - JavaScript incrustado en el archivo SVG con URL de phishing en texto plano

La URL de phishing muestra una página de inicio de sesión de Microsoft falsa:

Fig. 6 - Página de phishing de Microsoft

Indicadores de compromiso (IOCs) de la campaña

• Remitente sospechoso: info@cazareinfelix[.]ro
• SHA1 del SVG: 443e4d40c3b80741991a24527f50361d7d871932
• URL de redirección: hxxps://jutebagbd[.]com/js/
• URL de destino: zfilesharout[.]one/?lcfvblhu=d0a5bd6ea92dc93e3c16c5848ea533b5c81cf959f5503a42556849e462335f259b-123b7848875914b154f81b51bb48c28b1a991497b96af4aa6c5f32b9430e28&qrc=

Campaña SVG del 18 de marzo

18 de marzo
Asunto: [33sec VN] Recibido el 20/3/2025

Esta campaña se hace pasar por una transcripción de mensaje de voz, con el nombre del remitente como “VM Recording Msg Transcription for ”. No contiene texto en el cuerpo del mensaje y solo incluye el archivo SVG adjunto.

Fig. 7 - Correo de phishing con nota de voz y archivo SVG adjunto
 

Fig. 8 - Archivo SVG con ECMAScript codificado en base64 incrustado

El archivo SVG contiene dos ECMAScripts: el primero es un dummy script con un comentario y el correo electrónico de la víctima inicializado como una variable; el segundo es un script codificado en base64 que está aún más ofuscado utilizando base64, bytearrays y codificación AES. Esto se decodifica en una función básica pero poco utilizada window.location.assign para redirigir al usuario a una página de phishing de credenciales de Microsoft.

Fig. 9 - ECMAScript decodificado desde base64 inicializando variables para cyphertext, iv, key y tag
 

Fig. 10 - Variables AES decodificadas primero usando codificación de caracteres, luego base64; seguido por descifrado AES
 

Fig. 11 - Script de redirección decodificado usando window.location.assign
 

Fig. 12 - Página básica de phishing de Microsoft

Indicadores de compromiso (IOCs) de la campaña

• Remitente sospechoso: steve@stackgrouprealty[.]com
• SHA1 del SVG: 0360f680476d8ef97c2a7a3f69f86f5fb39e6bd1
• Dominio de phishing: hxxps://test.landgerichtberlin[.]com/e26WUmNsWmMBi4eF7o6zPs9XEJGwROoWzh7tq3c8kuN0EacOSYJ7oflRfFDPBSCM-gti1OpVbZqG6u5wadxJUNntu0vakQL832cHpvlVQyrlGjeKbxgRA2nYfKUnH94oTrjHZTyLDY0IC4oXorFPTqy1jh/verify

Campaña SVG del 26 de marzo

26 de marzo
Asunto: DirectDeposit #741844:Payment:Ref 6a62bbb11f25c1924e264d9e4f118375

Esta campaña es una clásica estafa de pago utilizando el servicio de fax electrónico de GoTo como cebo, haciéndose pasar por un fax del IRS relacionado con un depósito directo. La infraestructura de envío de esta campaña es el servicio legítimo de Microsoft Tenant. Esto es una prueba más de que los servicios legítimos están siendo utilizados cada vez más en actividades maliciosas.

Fig. 13 - Correo desde Microsoft Tenant con señuelos de fax de GoTo e IRS, archivo SVG adjunto

El archivo SVG en esta campaña carece de la complejidad de la campaña destacada anteriormente, ya que parece que los atacantes que utilizan archivos SVG han vuelto a métodos más confiables de ofuscación. El archivo contiene el habitual ECMAScript incrustado codificado en base64. La ofuscación adicional de la URL de phishing comienza con funciones simples de reverse y replace, seguida de decodificación hexadecimal a un entero con algunas operaciones de suma y división, y finalmente decodificado mediante códigos de caracteres.

Fig. 14 - Archivo SVG con ECMAScript incrustado codificado en base64

Fig. 15 - ECMAScript decodificado desde base64, utiliza reverse, replace, has y codificación de caracteres

La página de phishing presenta un desafío de bot de Cloudflare y posteriormente muestra un panel de inicio de sesión de Microsoft con un fondo de “Payment Receipt”.

Fig. 16 - Página de phishing de credenciales de Microsoft

Indicadores de compromiso (IOCs) de la campaña

• Dominio del remitente de Microsoft Tenant: @bgfbv.onmicrosoft[.]com
• SHA1 del SVG: 06b446f3ffd972de9d30103ea3f824648a81ce63
• URL de phishing: hxxps://thajy.cotrustsystem[.]com/5jUzdNZUxvqpiCSHk4MTVOxlRnoHw8snAssiTjTKgQvoKpZcEcGFhl6WNz14FYbLPSh-ItIrmXoKV7Rux4652Cu0SE9U10DEAdf21tL8bMwqaPbkJt2VcIr8wQim7ea5FeX7RCGlfNgQMGqfOyhBuYL/index?a=YmxhaEBibGFoLmNvbQ%3D%3D

Conclusión

Los atacantes siempre están encontrando formas novedosas de evadir las protecciones. En este caso, tecnologías antiguas como los archivos de imagen SVG y ECMAScripts están siendo utilizadas para redirigir a las víctimas a páginas de phishing de credenciales más tradicionales. El análisis reciente de X-Labs muestra un enorme aumento en el uso de archivos SVG incrustados con código malicioso el mes pasado. Podemos rastrear aún más la evolución de los ataques observando el cambio en las tácticas: desde mostrar imágenes vectoriales, pasando por técnicas simples de ofuscación, hasta codificación AES más compleja, y de vuelta a métodos menos sofisticados pero más confiables como reverse y replace.

Declaración de protección

Los clientes de Forcepoint están protegidos contra esta amenaza en las siguientes etapas del ataque:

• Etapa 2 (Cebo) – Entregado a través de archivos SVG maliciosos adjuntos a un correo electrónico. Los correos electrónicos y las URLs incrustadas son bloqueadas por los análisis de Forcepoint Email Security y Forcepoint Web Security.
• Etapa 3 (Redirección) – URLs de phishing redirigidas bloqueadas mediante análisis web.
   

IOCs:

Remitentes:

• TOBi@tobincenter[.]org
• info@cazareinfelix[.]ro
• steve@stackgrouprealty[.]com
• @bgfbv.onmicrosoft[.]com

URL de redireccionamiento:

• hxxps://abe87c29.46b20494-8a43-4c49-8a51-bc2a41cc9c27-e624a29b-c629-4f2f-99.pages[.]dev/voiceseses
• hxxps://jutebagbd[.]com/js/bWFnYXppbmVAcG93ZXJhbmRtb3RvcnlhY2h0LmNvbQ==

Dominios de phishing:

• vacilandos[.]com
• zfilesharouts[.]one
• thajy.cotrustsystem[.]com
• test.landgerichtberlin[.]com
   

SVG sha1:

• 69c9937ae2ddb81a55385aadb3751e572026fa5d
• 443e4d40c3b80741991a24527f50361d7d871932
• 0360f680476d8ef97c2a7a3f69f86f5fb39e6bd1
• 06b446f3ffd972de9d30103ea3f824648a81ce63