1. Alertas de Seguridad
  2. Campaña de phishing activo con adjunto en formato SVG

Campaña de phishing activo con adjunto en formato SVG

Fecha de publicación: Mié, 03/09/2025 - 18:04

Alerta de seguridad

Nivel de peligrosidad: Alto

Descripción

El Centro de Gestión de Incidentes Informáticos ha detectado una campaña de phishing agresiva y persistente que distribuye el malware a través de imágenes adjuntas mediante correos engañosos. Los atacantes envían correos electrónicos fraudulentos que suplantan a instituciones legítimas con archivos adjuntos aparentemente inofensivos. Estos correos incluyen un archivo adjunto que aparenta ser una imagen con extensión .SVG.

Cuando el usuario abre el archivo, se inicia un proceso de infección en dos fases:

  • Descarga inicial: El archivo SVG se carga en el navegador y posteriormente carga una página web que guía al usuario para ejecutar un segundo archivo malicioso.
  • Infección con el malware: El usuario es llevado a descargar y ejecutar el archivo malicioso llamado 8 BOLETA JUDICIAL.exe.

Indicadores de ataque del archivo adjunto.

  • Nombre del archivo adjunto: notificación_fiscal_proceso_por_daño_moral__y_material_juzgado_23_07_CQDSSX.svg
  • Vector de ataque: Phishing
  • Correo electrónico remitente: stivenr10[@]gmail[.]com
  • MD5: a9d2a7a70699ef74c5ad3a73b9bbd4a8
  • SHA-1: 3c4f84b6f6a69066b23a29c94f0228195bb63539
  • SHA-256: 286d18fbe6c59e49834d48a7218eeddc1413a8c81936879f698416c8b12aaaa2
  • SSDEEP: 49152:/G9Mx0L3GTYdR8B9c/D7zxBBi6aJrhMeJpr4kQEBpHHBZgIrMwdTww/gbW+w5ayx:X

Indicadores de ataque del malware dentro del adjunto.

  • Nombre del archivo adjunto: 8 BOLETA JUDICIAL.exe
  • Vector de ataque: Descarga automatizada al hacer click en la imagen
  • MD5: 214a4ad591206df6f4e18f5b876473c9
  • SHA-1: 35daea08499abe583292b6f474b4cbb0f4dee053
  • SHA-256: 4c51bc3a44b63bd7104998d7d473edcd4acca8165b4b6a16ebbc5101146ca989
  • SSDEEP:  49152:HIH624a56H0Z0NyVJobHL3LwabKreD5lyTniPtgoHYuFdcoti5:58eLCreTyT2go4ug5
  • Solicitud POST a servidor: 172.165.61.93:443

Recursos objetivos del ataque

Información, contraseñas del navegador y actividad del usuario.

Actividad maliciosa:

  • Distribución: Correos de phishing con adjuntos como Documentos.svg.
  • Infección: Al abrir el archivo de imagen se abre el navegador para visualizar una boleta judicial, si el usuario hace click en continuar se abre contenido HTML y posteriormente se guía al usuario para descargar el malware y ejecutarlo simulando generación de contraseñas seguras, el adjunto malicioso es funcional en sistemas Windows 10/11.
  • Recolección: El malware permite almacenar las contraseñas del navegador, y recopilar información de pulsaciones del teclado.
  • Exfiltración: Se realiza la conexión a un servidor remoto.
  • Persistencia: El malware modifica registros de windows para no ser detectados.

Recomendaciones

Bloquear esta dirección IP en filtros de correo y firewalls, además de monitorear procesos inusuales en los equipos cliente.

Referencias