Una nueva ola de ciberataques está explotando archivos de Gráficos Vectoriales Escalables (SVG) para distribuir malware evitando las defensas de seguridad convencionales. Analistas de seguridad han descubierto una campaña, designada GPUGate, que utiliza imágenes SVG maliciosas distribuidas mediante anuncios de Google comprometidos y commits falsos en repositorios de GitHub.
Los archivos SVG, comúnmente utilizados para gráficos web y logotipos, son imágenes vectoriales basadas en XML que pueden contener código JavaScript. Esta capacidad inherente permite a actores de amenazas incrustar scripts maliciosos dentro de archivos de imagen aparentemente inocentes. Cuando las víctimas abren estos archivos SVG en sus navegadores web, el JavaScript incorporado se ejecuta automáticamente, iniciando la cadena de infección.
La campaña GPUGate se dirige específicamente a proveedores de servicios de TI y empresas tecnológicas mediante señuelos de phishing cuidadosamente elaborados. Los atacantes crean ofertas de empleo fraudulentas y actualizaciones de software mediante anuncios de Google, redirigiendo a los objetivos hacia sitios web que alojan los archivos SVG maliciosos. Adicionalmente, los actores de amenazas comprometen cuentas legítimas de GitHub para publicar commits falsos que contienen las imágenes manipuladas.
El análisis técnico revela que los archivos SVG emplean técnicas de ofuscación para evitar la detección. El JavaScript malicioso suele estar codificado u oculto dentro de la estructura XML, dificultando que las soluciones antivirus tradicionales identifiquen la amenaza. Una vez ejecutado, el script descarga cargas útiles adicionales desde servidores de comando y control, incluyendo stealers de información y troyanos de acceso remoto.
Esta metodología de ataque representa una evolución significativa en la distribución de malware basado en archivos. A diferencia de los archivos ejecutables que activan alertas de seguridad inmediatas, los archivos SVG normalmente se consideran de bajo riesgo y frecuentemente evitan los filtros de contenido. El enfoque multivector de la campaña, que combina publicidad en motores de búsqueda, explotación de repositorios de código y abuso de formatos de archivo, demuestra una planificación operacional sofisticada.
Los profesionales de seguridad recomiendan implementar soluciones de desarme y reconstrucción de contenido (CDR) para archivos SVG, junto con filtrado web mejorado y educación del usuario sobre los riesgos asociados con abrir archivos de imagen de fuentes no confiables. Las organizaciones también deben monitorizar actividad inusual en GitHub e implementar verificación adicional para commits de código.
La emergencia de distribución de malware basada en SVG subraya el continuo juego del gato y el ratón entre cibercriminales y proveedores de seguridad. A medida que las organizaciones fortalecen defensas contra vectores de ataque tradicionales, los actores de amenazas recurren cada vez más a métodos no convencionales que explotan formatos de archivo confiables y canales de distribución establecidos.
Comentarios 0
Comentando como:
¡Únete a la conversación!
Sé el primero en compartir tu opinión sobre este artículo.
¡Inicia la conversación!
Sé el primero en comentar este artículo.