• Los atacantes utilizan archivos SVG para ocultar código malicioso, como JavaScript, que puede desencadenar descargas o redirigir a sitios de phishing.
  • Los archivos SVG infectados simulan ser el sistema judicial de Colombia, mostrando una barra de progreso de descarga falsa para engañar a las víctimas.
  • Tras la supuesta descarga, se solicita al usuario guardar un archivo ZIP protegido con contraseña que contiene un navegador renombrado y una DLL maliciosa que instala más software dañino.

Los ciberdelincuentes están empleando archivos SVG (Scalable Vector Graphics) para distribuir malware de forma sigilosa, eludiendo las defensas de los antivirus. Estos archivos, que se basan en XML, pueden contener no solo gráficos sino también scripts y código incrustado. Los atacantes explotan esta característica para ocultar JavaScript malicioso o enlaces dentro de un archivo SVG, que al ser abierto en un navegador puede ejecutar descargas automáticas, redirigir a páginas de phishing o ejecutar scripts sin el conocimiento del usuario.

En una campaña reciente, se identificaron más de 500 archivos SVG maliciosos. Al ser abiertos, estos archivos renderizaban una página web que simulaba ser del sistema judicial de Colombia, incluyendo elementos como números de caso y tokens de seguridad para generar confianza. Se mostraba una barra de progreso de descarga falsa, y una vez completada, se instaba al usuario a descargar un archivo ZIP protegido con contraseña. Este archivo ZIP contenía un ejecutable legítimo de un navegador web renombrado para parecer un documento oficial, una DLL maliciosa y dos archivos encriptados. La ejecución del navegador activaba la DLL, instalando malware adicional en el sistema de la víctima.

La distribución de estos archivos SVG maliciosos se realiza principalmente a través de mensajes de phishing, que suplantan correos electrónicos de órdenes judiciales u otros documentos oficiales. Aunque no se conocen muchos detalles sobre las víctimas, la mayoría parecen ser usuarios en Colombia. Esta no es la primera vez que se utilizan archivos SVG en ataques de phishing; expertos ya habían advertido sobre un aumento de incidentes similares a principios de 2025. La plataforma de análisis de seguridad VirusTotal ha sido clave en la detección de esta campaña, identificando los más de 500 archivos que habían pasado desapercibidos para las soluciones antivirus y de protección de endpoints.