Mucho cuidado con los archivos SVG adjuntos en correos: cada vez se usan más para estafar y hay una razón

Los gráficos vectoriales escalables (SVG) son un formato de imagen basado en vectores que se utiliza mucho en Internet. Una de sus principales ventajas es que las imágenes pueden aumentar de tamaño sin pérdida alguna de calidad, algo que no sucede con imágenes en formato JPG, PNG, TIFF o WebP. Lo que muchos desconocen es que el funcionamiento del SVG da pie a que los ciberdelincuentes utilicen este tipo de archivos en campañas de phishing.

Los archivos SVG no están formados por píxeles: están compuestos por código que indica cómo deben ser las formas que aparecen en la imagen. Su versatilidad ha hecho que sean muy populares en logotipos, iconos y animaciones, pero la posibilidad de incluir código fraudulento en su interior abre las puertas a otro tipo de usos que nada tiene que ver con su función original.

Las amenazas de seguridad ocultas en este tipo de archivos suelen pasar desapercibidas

El uso de este tipo de archivos en campañas de phishing y distribución de malware no es ningún secreto, pero desde Bleeping Computer apuntan a un reciente aumento de popularidad. El motivo por el que los ciberdelincuentes apuestan por el uso de este tipo de archivos es que incluso el software especializado tiene problemas a la hora de detectar las amenazas que esconden en su interior.

Tal y como se hacen eco desde el medio especializado en ciberseguridad, los ciberdelincuentes están utilizando el elemento <foreignObject> para incluir código en HTML y JavaScript en las imágenes en formato SVG. Esto les permite ir un paso más allá y no solo mostrar imágenes: también pueden añadir formularios con los que robar la información de sus víctimas o incluir enlaces a sitios fraudulentos.

Bleeping Computer se hace eco de ejemplos recientes en los que los ciberdelincuentes han utilizado archivos SVG. En uno de ellos, los estafadores utilizaron un archivo SVG para mostrar la interfaz Excel con un formulario de inicio de sesión. En realidad se trataba de una campaña de phishing: al introducir las credenciales, se enviaban automáticamente a los ciberdelincuentes.

Otro de los ejemplos detalla el uso de un archivo SVG para hacerse pasar por un documento oficial que incluye un botón para que el usuario pueda descargar un archivo con más información. Si la persona que ha recibido el mensaje hace clic en el enlace, accederá a un sitio web en el que su equipo se infectará con malware.

Aunque recibir archivos SVG adjuntos en correos electrónicos no es demasiado habitual, conviene estar al tanto de su uso en campañas de phishing y distribución de malware y prestar atención a la extensión de los archivos que recibimos. En la captura de pantalla en la que se muestra la interfaz de Excel vemos que al final de la URL aparece la extensión .svg, lo que debe alertarnos inmediatamente de que estamos ante un intento de estafa.

Vía | Bleeping Computer

Imagen de portada | Image Creator de Microsoft Designer

En Xataka Móvil | Esta es la herramienta gratuita que uso para ver si mi email ha aparecido en una filtración de datos