La empresa de seguridad ESET advierte sobre una nueva campaña de engaño que utiliza técnicas de inteligencia artificial y archivos de imagen SVG para simular procesos oficiales y distribuir malware sin necesidad de conexión externa.
ESET, compañía líder en detección proactiva de amenazas, identificó una campaña maliciosa que circula principalmente en Colombia y que utiliza archivos SVG (gráficos vectoriales escalables) creados de manera masiva utilizando un modelo de IA. El objetivo final es instalar AsyncRAT, un troyano de acceso remoto que permite a los atacantes tomar control del dispositivo de la víctima y robar información sensible.
El engaño comienza con un correo electrónico que simula provenir de una entidad oficial, como una citación judicial o una demanda, aunque en este caso resultan más convincentes de lo habitual. El mensaje incluye un archivo adjunto con extensión .svg, que aparenta ser una simple imagen, pero que en realidad contiene código malicioso embebido. Al abrirlo, el usuario se encuentra con una interfaz que simula un proceso legítimo, como la preparación de documentos para descarga.
«Lo más preocupante de esta campaña es que todo el engaño ocurre dentro del propio archivo SVG, sin necesidad de conectarse a un servidor remoto. Esta característica dificulta su seguimiento basado en el monitoreo de tráfico o reputación de sitios», explica Camilo Gutierrez Amaya, jefe del Laboratorio de investigación de ESET Latinoamérica.
Una vez completada la simulación, el archivo genera una descarga automática de un archivo comprimido protegido con contraseña. Dentro de ese ZIP se encuentra un ejecutable que, al ser abierto, activa la instalación del malware.
Pie de Imagen: Descarga de la siguiente etapa del ataque
A diferencia de campañas anteriores, esta utiliza archivos “personalizados” para cada víctima. Aunque el comportamiento es el mismo, cada archivo contiene datos aleatorios que lo hacen único, lo que complica su detección y análisis. Además, se identificaron señales de que los atacantes podrían estar utilizando plantillas generadas con inteligencia artificial, lo que les permite crear interfaces más convincentes, aunque con inconsistencias técnicas.
“Si revisamos la tendencia en las detecciones de este tipo de código malicioso, se puede observar cómo las campañas tienen picos de detección a mitad de cada semana durante el mes de agosto, con énfasis particular en usuarios de Colombia. Esto puede ser un indicio de la actividad de este tipo de actividades maliciosas y cómo los atacantes aprovechan esta técnica de manera sistemática.”, destaca Gutierrez Amaya de ESET.
Si bien esta campaña evidencia que hay un esfuerzo por mejorar las técnicas de engaño, el objetivo final de los cibercriminales sigue siendo el mismo. El malware distribuido en esta campaña es AsyncRAT, un troyano que permite a los atacantes registrar pulsaciones de teclado, acceder a archivos, activar la cámara y el micrófono, y robar credenciales almacenadas en el navegador. Para lograrlo, utilizan una técnica conocida como DLL Sideloading, que permite ejecutar código malicioso a través de archivos aparentemente legítimos.
Desde ESET, se aconseja seguir las siguientes recomendaciones para protegerse ante este tipo de engaños:
- Desconfiar de correos que incluyan archivos SVG como adjuntos.
- No abrir archivos comprimidos protegidos con contraseña si no se espera recibirlos.
- Verificar siempre el remitente y el contenido del mensaje.
- Contar con soluciones de seguridad actualizadas que detecten amenazas avanzadas.
“La importancia de estas campañas no radica en la novedad del malware, que ya ha sido ampliamente usado en la región, sino en el perfeccionamiento de los métodos de entrega. Al combinar SVG Smuggling sin conexión externa, automatización en la generación de adjuntos únicos, plantillas que imitan procesos oficiales y señales de uso de inteligencia artificial, los atacantes logran un engaño mucho más creíble. Este nivel de sofisticación implica que los usuarios deben ser aún más cuidadosos. Ninguna entidad judicial enviará un archivo en formato SVG ni incluirá contraseñas visibles en un documento. Reconocer esas señales puede marcar la diferencia entre caer en la trampa o mantenerse a salvo.”, concluye Camilo Gutierrez Amaya, jefe del Laboratorio de investigación de ESET Latinoamérica.