Los investigadores de seguridad cibernética han impresionado una nueva campaña de malware que ha trabajador los archivos de gráficos vectoriales escalables (SVG) como parte de los ataques de phishing que se hacen ocurrir por el sistema legal colombiano.
Los archivos SVG, según Virustotal, se distribuyen por correo electrónico y están diseñados para ejecutar una carga útil de JavaScript incrustada, que luego decodifica e inyecta una página de phishing HTML codificada Base64 disfrazada de un portal para el Común de la Naciónico de la Fiscalía, la Oficina del Fiscal Común de Colombia.
Luego, la página simula un proceso oficial de descarga de documentos del gobierno con una mostrador de progreso falsa, mientras que desencadena sigilosamente la descarga de un archivo zip en el fondo. No se reveló la naturaleza exacta del archivo zip.
El servicio de escaneo de malware propiedad de Google dijo que encontró 44 archivos SVG únicos, todos los cuales no han sido detectados por motores antivirus, correcto al uso de técnicas como la ofuscación, el polimorfismo y grandes cantidades de código basura para sortear los métodos de detección estática.
En total, se han detectado hasta 523 archivos SVG en la naturaleza, con la primera muestra que se remonta al 14 de agosto de 2025.
“Mirando más profundo, vimos que las muestras más tempranas eran más grandes, rodeando de 25 MB, y el tamaño disminuyó con el tiempo, lo que sugiere que los atacantes estaban evolucionando sus cargas aperos”, dijo Virustotal.
La divulgación se produce cuando las versiones descifradas del software oficial y las tácticas de estilo ClickFix se están utilizando para atraer a los usuarios a infectar sus sistemas Apple MacOS con un robador de información llamado Atomic Macos Stealer (AMOS), exponiendo a las empresas al relleno de credenciales, un robo financiero y otros ataques de seguimiento.
“AMOS está diseñado para un amplio robo de datos, capaz de robar credenciales, datos del navegador, billeteras de criptomonedas, chats de telegrama, perfiles VPN, instrumentos de argolla, notas de Apple y archivos de carpetas comunes”, dijo Trend Micro. “Amos muestra que MacOS ya no es un objetivo periférico. A medida que los dispositivos MacOS ganan circunscripción en entornos empresariales, se han convertido en un enfoque más atractivo y rentable para los atacantes”.
La prisión de ataque esencialmente implica dirigir a los usuarios que buscan software agrietado en sitios como HAXMAC (.) CC, redirigiendolos a enlaces de descarga falsos que proporcionan instrucciones de instalación diseñadas para engañarlos para que ejecutaran comandos maliciosos en la aplicación Terminal, lo que provoca la implementación de AMOS.
Vale la pena señalar que Apple evita la instalación de archivos .dmg que carecen de notarización adecuada correcto a las protecciones de Gatekeeper de MacOS, que requieren que los paquetes de aplicación sean firmados por un desarrollador identificado y notarizado por Apple.
“Con el divulgación de MacOS Sequoia, los intentos de instalar archivos .dmg maliciosos o sin firmar, como los utilizados en las campañas de AMOS, están bloqueados de forma predeterminada”, agregó la compañía. “Si acertadamente esto no elimina el aventura por completo, especialmente para los usuarios que pueden ocurrir por detención las protecciones incorporadas, plantea la barrera de infecciones exitosas y obliga a los atacantes a adaptar sus métodos de entrega”.
Esta es la razón por la cual los actores de amenaza están depositando cada vez más en ClickFix, ya que permite que el robador se instale en la máquina utilizando el terminal mediante un comando CURL especificado en la página de descarga de software.
“Si acertadamente las protecciones de Gatekeeper mejoradas de MacOS Sequoia bloquearon con éxito las infecciones tradicionales basadas en .DMG, los actores de amenaza giraron rápidamente a los métodos de instalación basados en terminales que demostraron ser más efectivos para evitar los controles de seguridad”, dijo Trend Micro. “Este cambio resalta la importancia de las estrategias de defensa en profundidad que no dependen sólo de las protecciones del sistema eficaz incorporado”.
El expansión igualmente sigue el descubrimiento de una “campaña cibernética extensa” que está dirigida a los jugadores en rastreo de trucos con el robador de robo de Stealc y el malware de robo de criptografía, lo que obtiene a los actores de amenaza de más de $ 135,000.
Según Cyberark, la actividad es trascendente por servirse las capacidades del cargador de Stealc para descargar cargas aperos adicionales, en este caso, un robador de criptomonedas que puede desviar los activos digitales de los usuarios en máquinas infectadas.
