Archivos SVG*: la nueva forma de las cargas útiles del malspam
En los últimos meses, los analistas de inteligencia OPSWAT han observado campañas de malspam genérico y de suplantación de identidad para robar credenciales que distribuyen archivos SVG maliciosos a las listas de correo habituales (todas las bandejas de entrada a las que pueden acceder).
Una de las dos diferencias fundamentales entre estos archivos SVG y lo que cabría esperar de cualquier correo electrónico habitual que contenga imágenes incrustadas es que es probable que el remitente esté instando a los destinatarios a abrir dichos archivos, transmitiendo una sensación de urgencia mediante un relato elaborado, habitual en las campañas de malspam, como facturas pendientes de pago, mensajes de voz no escuchados o instrucciones falsas de la alta dirección (cebos).
La otra diferencia es que estos archivos SVG contienen código JavaScript malicioso o enlaces incrustados a páginas de destino falsas destinadas a la sustracción de credenciales o al robo de información personal.
Para los profesionales de la seguridad con experiencia, este cambio en el tipo de archivo no debería suponer ninguna sorpresa. El seguimiento de las tendencias en las técnicas de ataque basadas en archivos a lo largo de los años ha puesto de manifiesto que los autores de las amenazas son expertos a la hora de identificar los tipos de archivo que les brindan la oportunidad de eludir las defensas y aumentar las tasas de entrega a los usuarios objetivo.
Por qué JavaScript es la verdadera carga útil
Quienes siguen de cerca a determinados actores podrían plantear la hipótesis, con un alto grado de certeza, de que este cambio de estrategia en el manejo de archivos fue el siguiente paso lógico para hacer avanzar las campañas y mantener un bajo nivel de detección frente a las actuales contramedidas de seguridad.
Dado que las técnicas de «aprovechamiento de los recursos disponibles» suelen ser las preferidas para garantizar la eficacia general de las campañas, una opción probada y contrastada suele ser el denominador común: el JavaScript incrustado.
La posibilidad de ejecutar código JavaScript arbitrario en un tipo de archivo muy común permite a los autores de amenazas recurrir a su amplio arsenal de técnicas de ofuscación. Esto les da tiempo para poner en marcha campañas con bajas tasas de detección, a cambio del escaso esfuerzo que supone adaptar sus viejos trucos a un nuevo contenedor.
Donde solemos encontrar este tipo de cargas útiles de JavaScript es en archivos HTML directos, archivos PDF e incluso en archivos JavaScript sin formato (.js). La posibilidad de camuflar el contenido activo en un tipo de archivo que suele considerarse menos peligroso (por ejemplo, un archivo de imagen) garantiza a los autores de las amenazas unas tasas de éxito elevadas.
Por el contrario, la reducción de la superficie de ataque, que se ha centrado en tecnologías como las aplicaciones de productividad —por ejemplo, Microsoft Office y OneNote—, no se ha extendido necesariamente a algunos de estos tipos de archivos emergentes y menos habituales.
Los ejemplos que se muestran a continuación ilustran cómo los atacantes incrustan código JavaScript en distintos tipos de archivos, incluidos HTML y SVG, para ejecutar funciones maliciosas y eludir la detección.
El problema lleva inevitablemente a debatir por qué JavaScript tiene una superficie de ataque tan amplia en el ámbito web y qué soluciones rentables existen para reducir la vulnerabilidad ante el malware que se introduce a través de JavaScript en la secuencia de entrega. Esto puede resultar complicado para algunas organizaciones, dependiendo de sus necesidades operativas.
Esto también se enmarca en el ámbito de las herramientas y los marcos de trabajo que suelen utilizar los proveedores y los desarrolladores, y que acaban siendo objeto de uso indebido por parte de elementos delictivos (un tema de debate para otra ocasión). Aunque es discutible si el usuario medio necesita JavaScript en aplicaciones tan extendidas como el correo electrónico, reacciones exageradas como la carta abierta de Steve Jobs sobre Adobe Flash pueden dar lugar a prácticas mal concebidas con consecuencias imprevistas.
El malware como servicio a gran escala: lo que deben saber las pymes
Aunque estas campañas estandarizadas —a menudo impulsadas por redes de malware como servicio y de afiliados— carecen de la sofisticación de las operaciones de los Estados-nación, lo compensan con su enorme volumen y su rápida repetición, lo que les permite causar un impacto generalizado a gran escala. El gran número de actores que operan en este ámbito puede suponer un reto para las pequeñas y medianas empresas, que pueden tener un acceso limitado a herramientas de seguridad para mitigar estas amenazas.
La defensa contra esta amenaza habitual recae, por tanto, en los responsables de seguridad, a quienes les corresponde sopesar los casos de uso previstos o legítimos frente al uso potencialmente malicioso de JavaScript en sus entornos.
Incorporar la seguridad en tu proceso de análisis de archivos
Las organizaciones con procesos de desarrollo complejos deberán definir claramente las políticas de uso aceptable de los distintos tipos de archivos en los diversos ámbitos de ingeniería, con el fin de lograr un equilibrio entre la productividad y la seguridad.
Es probable que los administradores de seguridad que utilizan la detección basada en firmas YARA ya cuenten con cobertura para el código JavaScript sospechoso presente en archivos HTML; adaptar estas reglas o crear otras específicas para SVG ofrece a los ingenieros de detección una vía rápida para hacer frente a amenazas conocidas que aprovechan técnicas de manipulación de archivos hasta ahora desconocidas.
Los ingenieros de detección con los recursos necesarios pueden optar por ir un paso más allá y analizar otros tipos de archivos que el usuario pueda ejecutar fácilmente y que admitan JavaScript, con el fin de hacer frente a futuras amenazas.
Análisis exhaustivo de archivos: el antídoto contra las técnicas de creación de archivos maliciosos
En OPSWAT, creemos que la prudencia de los usuarios es un elemento clave para defenderse de la avalancha de ataques. Pero también sabemos que no es realista esperar que nuestros usuarios sean capaces de reconocer y evitar por sí solos los señuelos diseñados con tanto esmero.
Por este motivo, hemos desarrollado métodos eficaces y altamente automatizados para detectar archivos maliciosos a gran escala y dentro de los flujos de trabajo habituales. MetaDefender puede analizar y detectar archivos SVG que puedan llegar a través de canales e integraciones conectados, lo que ayuda a proteger las vías de correo electrónico y web gracias a sus capacidades de análisis adaptativo.
Aquí tienes un archivo SVG de ejemplo que ilustra las capacidades de la tecnología Deep CDR™ para detectar contenido JavaScript activo en el archivo e identificar elementos de riesgo.
Ejemplos de hash de campañas activas
A continuación se incluyen los hash de los archivos de las muestras SVG maliciosas detectadas, para que los utilices en la detección de amenazas y en el desarrollo de reglas YARA.
37ec9cea8684862bf90a77750d299c402b22fd45227394f9c021271c220efde5 |
af5448f719717b02658fa6125867891c9a8398d7962c8351c52581222123812f |
e078956a4722bc5352b9f3579b0f347442e6d8bfae474989005748691c96ad61 |
c3bea88d3dd9af95a7abed667395ec7e97b9d03234e96f1deb58246eda79c480 |
0c635495ae1f7f5abb54758774e0cf3a45de833e4a625fa73b66b6fa68dba016 |
7e4196e0ea594313440db113f33e3e0cb324d48b7e7067f49692d896ced61dbd |
380228c46ad165986caf5be62c4e53104d149de19fdcd8bf1e7d0d15d9e2d734 |
20e7a72bee139660755215f2aad7695cc5b2042e3bc93d96b4da6a1ddb9d3b5c |
a559ba903d3ffe755e54bd9d74d338ce8b4a140f1495f31d380e5875ea110f77 |
d050b960f05f939598565d4ea9f54743116a5fff579de171e2380354627cf45d |
ff342515e4ab999397f9facfd3185ab251dab872a425a7a7a298971d013285ad |
ff7bb63fa228e01c0fe5f214db0b5cc60e67f0b8ba2d7984bdc6aa34bf00fd9a |
Los clientes que utilizan MetaDefender se benefician de rápidas actualizaciones de inteligencia sobre amenazas, incluidos formatos de archivo emergentes como SVG. Una vez implementada la lógica de detección, las amenazas como las que se analizan en este blog se identifican y se ponen en cuarentena automáticamente, lo que garantiza una protección continua incluso a medida que evolucionan las tácticas de los atacantes.
Reflexiones finales: los formatos de archivo son cambiantes, y tus medidas de seguridad también deberían serlo
Los atacantes evolucionan constantemente sus métodos, y el uso de archivos SVG cargados de JavaScript en campañas de phishing es un claro ejemplo de estas técnicas adaptativas. Aunque la extensión del archivo pueda cambiar, la amenaza principal —la ejecución de scripts ofuscados— sigue siendo la misma.
Para mantenerse a la vanguardia, los responsables de la seguridad deben perfeccionar continuamente las técnicas de detección, adaptar las reglas existentes a los nuevos formatos y aprovechar herramientas de análisis automatizado como MetaDefender para descubrir comportamientos maliciosos ocultos en lugares insospechados. No basta con confiar en la vigilancia de los usuarios: ahora es imprescindible contar con defensas inteligentes y escalables.
*¿Qué son los archivos SVG?
SVG, o Scalable Vector Graphics, es un formato de archivo muy utilizado para mostrar imágenes vectoriales en la web. A diferencia de los formatos de imagen tradicionales, como JPEG o PNG, los archivos SVG están basados en texto y escritos en XML, lo que les permite incluir elementos interactivos e incluso scripts incrustados, como JavaScript. Esta flexibilidad los hace útiles para los desarrolladores, pero también atractivos para los atacantes que buscan ocultar código malicioso a plena vista.
