Tutoriales y Manuales
Entradas Mensuales
-
▼
2025
(Total:
1698
)
-
▼
septiembre
(Total:
148
)
-
Jaguar Land Rover sigue en crisis por un ciberataq...
-
Electronic Arts acuerda su venta a un consorcio de...
-
Samsung presenta en China un SSD de 256 TB PCIe 6.0
-
Dos adolescentes holandeses detenidos por intentar...
-
Características de nuevo ransomware LockBit 5.0 pa...
-
Vulnerabilidad de secuestro de DLL de Notepad++
-
Brave mejora su función de búsqueda con IA
-
Facebook presenta Fan Hub y nuevas funciones para ...
-
La mayor cervecera de Japón suspende sus operacion...
-
El curioso caso de los SSD que fallan a los 3 años...
-
Amazon indemnizará con 1.300 millones de euros a l...
-
Nextcloud Hub 25 Autumn: novedades, nueva nomencla...
-
Claude Sonnet 4.5 es probablemente el “mejor model...
-
Gemini se actualiza y ahora es más inteligente y r...
-
xAI carga otra vez contra OpenAI, ahora por supues...
-
Europa prepara una multa contra Meta por su forma ...
-
La app para iPhone Neon te paga por grabar tus lla...
-
Google revoluciona las búsquedas y lanza el Modo I...
-
La UE da pasos para restringir la edad de acceso a...
-
¿Qué es el Thermal Throttling?
-
TDP en CPU, conoce el valor que siempre se confund...
-
Logitech presenta un teclado que nunca tendrás que...
-
Rate Limit con NGINX
-
Qwen3-Max: la IA más avanzada de China con 1 billó...
-
Una pareja de jubilados pierde 290.000 euros, todo...
-
Estados Unidos desmantela una amenaza a las teleco...
-
Cloudflare recibe el mayor ataque DDoS registrado:...
-
Ya puedes traducir mensajes de WhatsApp sin salir ...
-
Kali Linux 2025.3 llega con Nexmon y 10 nuevas her...
-
Claude, la IA de Anthropic, se une Microsoft 365 C...
-
LinkedIn utilizará tus datos y perfil para aliment...
-
Qwen3-Omni, la IA open source de Alibaba
-
Compra una NVIDIA RTX 5080 en Amazon y recibe un l...
-
La última de DOOM es hacerlo funcionar en la panta...
-
La Casa Blanca confirma que Oracle se encargará de...
-
Dazn pide "la misma concienciación" con la pirater...
-
Microsoft anuncia el datacenter de IA más potente ...
-
Samsung ha subido el precio de su memoria DRAM y N...
-
Nvidia invertirá hasta 100.000 millones de dólares...
-
LibreWolf, el navegador basado en Firefox que resp...
-
Facebook Parejas usará la IA para ayudarte a encon...
-
Grok, la IA de Elon Musk, ha consumido para entren...
-
Europa propone acabar con los molestos avisos de l...
-
Se gastan hasta 2.000 euros en un iPhone 17 Pro Ma...
-
La Audiencia Nacional investiga una nueva filtraci...
-
Trujillo: Filtran datos confidenciales de más de 2...
-
YouTube Anti Translate: Cómo bloquear el doblaje a...
-
Cómo crear gratis un mapa de cobertura WiFi de tu ...
-
Un banco despide a miles de trabajadores por tener...
-
Security Onion: guía completa sobre esta distro de...
-
MalTerminal: el primer malware que integra GPT-4 p...
-
Google soluciona su sexta vulnerabilidad 0-day en ...
-
Protección contra DDoS de OPNsense
-
Riesgos de las eSIM para viajes: redirigen datos a...
-
Steam pone fin al soporte para sistemas de 32 bits...
-
Una PS5 en un maletín con pantalla de 15 pulgadas ...
-
¿Tienes una nevera inteligente de Samsung? Ahora v...
-
La estafa del 'astronauta en apuros': una mujer pi...
-
Tus ‘streamers’ favoritos te han estado mintiendo ...
-
Ratty: un troyano que se propaga en latinoamérica ...
-
Gemini gana el oro en el mundial de programación y...
-
Nvidia invierte 5.000M$ en Intel y conjuntamente d...
-
Microsoft elimanará WMIC en la actualización Windo...
-
Guía: ¿Qué monitor comprar en 2025?
-
Bitdefender frente a Windows Defender, ¿afectan lo...
-
Las gafas Meta Ray-Ban Display se hacen oficiales,...
-
Tiny11 te permitirá dar el salto a Windows 11 25H2...
-
Estados Unidos ofrece 11M$ por la captura de un uc...
-
Google presenta su app de escritorio para Windows
-
YouTube ayudará a los creadores de contenidos a co...
-
¿Para qué utiliza la gente ChatGPT?
-
Un profesor español captado por Rusia difunde dato...
-
La guerra entre Internet Archive y las discográfic...
-
Descubren cómo identificar el móvil exacto que sac...
-
Una filtración de datos revela cómo funciona la ce...
-
Así cayeron el ciberejército de Putin y sus 'minio...
-
Precios de reparación del iPhone 17 y iPhone Air
-
AIDA 64 celebra su 30º cumpleaños con la versión 8...
-
El precio de los discos duros y de los SSDs va a s...
-
Los fundadores de internet rechazan el bloqueo que...
-
Nunca le robes el móvil a la novia de un hacker
-
VMScape: la nueva vulnerabilidad que rompe el aisl...
-
Filtradas las nuevas gafas inteligentes de Meta de...
-
El primer disco duro del mundo es de 1956: 3,75 MB...
-
La historia del auge y la decadencia del IRC
-
Windows 11 integrará un test de velocidad
-
La Guardia Civil detiene a un menor como presunto ...
-
EEUU acuerda con China la venta de TikTok
-
Super Mario Bros. revive en PC con remake no ofici...
-
Los creadores de TikTok lanzan una IA que genera m...
-
Albania nombra a una IA "ministro" de contratación...
-
Ni fibra óptica ni 5G, así era conectarse a intern...
-
Europa estrena JUPITER, un superordenador del tama...
-
Cómo copiar texto de una imagen o PDF con una capt...
-
Premios AI Darwin 2025: un reconocimiento a los de...
-
Microsoft PowerToys: todas las utilidades para per...
-
Apple presenta los AirPods Pro 3
-
Meta fabricará unas gafas de combate con IA para E...
-
Exresponsable de Ciberseguridad de WhatsApp demand...
-
Apple iPhone 17, con pantallas mejoradas y batería...
-
-
▼
septiembre
(Total:
148
)
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
ClothOff es una app que utiliza inteligencia artificial generativa para desnudar a cualquier persona a partir de fotografías con ropa que... -
Un agente de IA de Google llamado Antigravity eliminó accidentalmente todos los datos del disco duro de un desarrollador. Después de la eli... -
A partir de 2026, la validez de los certificados digitales disminuirá gradualmente, pasando de 398 días a 47 días para 2029 . Let's Encr...
Ataque de campaña maliciosa en Colombia con archivos SVG generados con inteligencia artificial
La ingeniería social sigue siendo el recurso más utilizado por los ciberdelincuentes, sin importar cuándo leas este post. En este caso, la técnica se basa en correos electrónicos que aparentan provenir de entidades conocidas, con supuestas citaciones judiciales o demandas. Los archivos adjuntos simulan procesos legítimos.
Campañas en Colombia que usan archivos SVG para distribuir malware sin conexión externa y simular procesos legítimos
Hasta aquí, un patrón común en este tipo de campañas. Lo novedoso es el método de entrega: archivos SVG personalizados, simulaciones de procesos oficiales y señales de automatización e inteligencia artificial.
El archivo utilizado tiene formato SVG, una imagen vectorial basada en XML cuya estructura permite incluir código, datos y simulaciones interactivas sin requerir conexión externa. Cada archivo se genera con datos únicos, lo que dificulta su detección y análisis.
El objetivo final es la instalación de AsyncRAT, un troyano de acceso remoto ya presente en otras campañas.
A continuación, el análisis del equipo de ESET Latinoamérica sobre estas campañas.
El papel del archivo SVG
Lo central en estas campañas es el abuso de archivos con extensión .svg. A simple vista, un SVG es un archivo de imágenes vectoriales basado en XML que debería contener figuras, colores o texto escalable. Sin embargo, esa misma flexibilidad es aprovechada para incluir código, datos ocultos y hasta simulaciones interactivas. Esta técnica, conocida como SVG Smuggling, ya fue documentada en MITRE ATT&CK y ha sido usada en ataques activos en la región.
Lo novedoso es que ahora todo el engaño ocurre dentro del propio archivo, sin necesidad de conectarse a un servidor remoto. Esta característica hace más complejo su seguimiento basado en la reputación de sitios o monitoreo de tráfico pueda detectar la amenaza.
Archivos “personalizados” para cada víctima
El ataque comienza con un correo electrónico que aparenta venir de una entidad oficial y que incluye un archivo con extensión SVG. Su tamaño, superior a los diez megabytes en muchos casos, ya anticipa que contiene algo más que una simple imagen. Al abrirlo, el usuario no encuentra un gráfico estático, sino una interfaz que simula un proceso real.
En la Ilustración 1 se observa el archivo (SHA1: 0AA1D24F40EEC02B26A12FBE2250CAB1C9F7B958) recibido por la víctima, detectado por las soluciones de ESET como JS/TrojanDropper.Agent.PSJ. Allí, en lugar de mostrar un documento legítimo, el archivo XML reproduce pantallas de verificación y mensajes de preparación de documentos. Todo forma parte del mismo archivo y no hay comunicación externa.
Luego de unos segundos, el archivo indica que está lista la descarga y el navegador guarda un archivo comprimido protegido con contraseña, como se ve en la Ilustración 2.
La Ilustración 3 muestra ese momento en el que el usuario recibe un ZIP que contiene un ejecutable. La clave para descomprimirlo se muestra en claro dentro del mismo documento, reforzando la ilusión de un procedimiento formal. Aunque aparenta ser inofensivo, al ejecutarlo activa el siguiente paso de la campaña.
Si revisamos la tendencia en las detecciones de este tipo de código malicioso, Ilustración 4, se puede ver como las campañas tienen picos de detección a mitad de cada semana durante el mes de agosto, con énfasis particular en usuarios de Colombia, lo cual puede ser un indicio de la actividad de este tipo de actividades maliciosas y como los atacantes aprovechan esta técnica de manera sistemática.
El detrás de escena de los droppers
Lo usual en las campañas de propagación era enviar un mismo archivo adjunto a miles de usuarios. Lo que hace distinta a esta campaña es que cada correo incluye un archivo diferente. Aunque el comportamiento final sea idéntico, el archivo que recibe cada usuario contiene datos aleatorios que lo vuelven único.
La Ilustración 5 muestra un ejemplo de cómo se introducen estos valores aleatorios en el XML. Esto no solo complica la detección por parte de sistemas de seguridad, sino también el trabajo de los investigadores que deben analizar múltiples muestras distintas. Todo indica que los atacantes cuentan con un kit automatizado capaz de generar en masa estos archivos “personalizados”.
Otra característica particular es que el payload se encuentra embebido dentro del mismo archivo XML. En la Ilustración 6 se observa la función que, de manera simulada, arma el archivo final a partir de una larga cadena de caracteres y lo presenta como si fuera una descarga legítima.
Plantillas sospechosas y el rol de la IA
El análisis más profundo de la estructura de estos archivos arroja detalles llamativos. En la Ilustración 7 se aprecian frases genéricas, campos vacíos propios de maquetas automatizadas, clases con nombres excesivamente descriptivos y repetitivos, y hasta la sustitución de símbolos oficiales por emojis. Ningún portal gubernamental real mostraría una contraseña en claro o prometería descargas automáticas con hashes de verificación que en realidad son simples cadenas MD5 sin validez.
Todos estos elementos apuntan a que los atacantes podrían estar usando plantillas generadas con inteligencia artificial o kits prefabricados. El resultado es un disfraz convincente a simple vista, pero lleno de inconsistencias técnicas que revelan el engaño.
Objetivo final de la campaña
Más allá del esfuerzo por mejorar la puesta en escena, el objetivo de los atacantes no ha cambiado. Lo que buscan es instalar AsyncRAT en la máquina de la víctima. Este troyano de acceso remoto ofrece a los atacantes la posibilidad de registrar pulsaciones de teclado, acceder a archivos, capturar pantallas, controlar la cámara y el micrófono e incluso robar credenciales guardadas en navegadores.
La forma en que lo logran es a través de DLL Sideloading, una técnica en la que un ejecutable legítimo carga inadvertidamente una biblioteca maliciosa. De esa manera, el malware se camufla bajo la apariencia de un archivo normal y se ejecuta sin levantar sospechas inmediatas.
Por qué esta evolución es relevante
La importancia de estas campañas no radica en la novedad del malware, que ya ha sido ampliamente usado en la región, sino en el perfeccionamiento de los métodos de entrega. Al combinar SVG Smuggling sin conexión externa, automatización en la generación de adjuntos únicos, plantillas que imitan procesos oficiales y señales de uso de inteligencia artificial, los atacantes logran un engaño mucho más creíble.
Este nivel de sofisticación implica que los usuarios deben ser aún más cuidadosos. Ninguna entidad judicial enviará un archivo en formato SVG ni incluirá contraseñas visibles en un documento. Reconocer esas señales puede marcar la diferencia entre caer en la trampa o mantenerse a salvo.
Fuentes:
https://blog.virustotal.com/2025/09/uncovering-colombian-malware-campaign.html
https://www.welivesecurity.com/es/investigaciones/xml-convierte-en-dropper-apunta-colombia/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.