Los investigadores de seguridad cibernética han impresionado una nueva campaña de malware que ha diligente los archivos de gráficos vectoriales escalables (SVG) como parte de los ataques de phishing que se hacen producirse por el sistema contencioso colombiano.
Los archivos SVG, según Virustotal, se distribuyen por correo electrónico y están diseñados para ejecutar una carga útil de JavaScript incrustada, que luego decodifica e inyecta una página de phishing HTML codificada Base64 disfrazada de portal para el universal de la fiscalía de la Nación, la Oficina del Fiscal Caudillo de Colombia.
Luego, la página simula un proceso oficial de descarga de documentos del gobierno con una mostrador de progreso falsa, mientras que desencadena sigilosamente la descarga de un archivo zip en el fondo. No se reveló la naturaleza exacta del archivo zip.
El servicio de escaneo de malware propiedad de Google dijo que encontró 44 archivos SVG únicos, todos los cuales no han sido detectados por motores antivirus, correcto al uso de técnicas como la ofuscación, el polimorfismo y grandes cantidades de código basura para sortear los métodos de detección estática.
En total, se han detectado hasta 523 archivos SVG en la naturaleza, con la primera muestra que se remonta al 14 de agosto de 2025.
«Mirando más profundo, vimos que las muestras más tempranas eran más grandes, cerca de de 25 MB, y el tamaño disminuyó con el tiempo, lo que sugiere que los atacantes estaban evolucionando sus cargas bártulos», dijo Virustotal.
La divulgación se produce cuando las versiones descifradas del software oficial y las tácticas de estilo ClickFix se están utilizando para atraer a los usuarios a infectar sus sistemas Apple MacOS con un robador de información llamado Atomic Macos Stealer (AMOS), exponiendo a las empresas al relleno de credenciales, un robo financiero y otros ataques de seguimiento.
«AMOS está diseñado para un amplio robo de datos, capaz de robar credenciales, datos del navegador, billeteras de criptomonedas, chats de telegrama, perfiles VPN, utensilios de cadena, notas de Apple y archivos de carpetas comunes», dijo Trend Micro. «Amos muestra que MacOS ya no es un objetivo periférico. A medida que los dispositivos MacOS ganan demarcación en entornos empresariales, se han convertido en un enfoque más atractivo y productivo para los atacantes».
La cautiverio de ataque esencialmente implica dirigir a los usuarios que buscan software agrietado en sitios como HAXMAC (.) CC, redirigiendolos a enlaces de descarga falsos que proporcionan instrucciones de instalación diseñadas para engañarlos para que ejecutaran comandos maliciosos en la aplicación Terminal, lo que provoca la implementación de AMOS.
Vale la pena señalar que Apple evita la instalación de archivos .dmg que carecen de notarización adecuada correcto a las protecciones de Gatekeeper de MacOS, que requieren que los paquetes de aplicación sean firmados por un desarrollador identificado y notarizado por Apple.
«Con el extensión de MacOS Sequoia, los intentos de instalar archivos .dmg maliciosos o sin firmar, como los utilizados en las campañas de AMOS, están bloqueados de forma predeterminada», agregó la compañía. «Si aceptablemente esto no elimina el aventura por completo, especialmente para los usuarios que pueden producirse por stop las protecciones incorporadas, plantea la barrera de infecciones exitosas y obliga a los atacantes a adaptar sus métodos de entrega».
Esta es la razón por la cual los actores de amenaza están depositando cada vez más en ClickFix, ya que permite que el robador se instale en la máquina utilizando el terminal mediante un comando CURL especificado en la página de descarga de software.
«Si aceptablemente las protecciones de Gatekeeper mejoradas de MacOS Sequoia bloquearon con éxito las infecciones tradicionales basadas en .DMG, los actores de amenaza giraron rápidamente a los métodos de instalación basados en terminales que demostraron ser más efectivos para evitar los controles de seguridad», dijo Trend Micro. «Este cambio resalta la importancia de las estrategias de defensa en profundidad que no dependen solamente de las protecciones del sistema activo incorporado».
El crecimiento igualmente sigue el descubrimiento de una «campaña cibernética extensa» que está dirigida a los jugadores en rebusca de trucos con el robador de robo de Stealc y el malware de robo de criptografía, lo que obtiene a los actores de amenaza de más de $ 135,000.
Según Cyberark, la actividad es trascendental por rendir las capacidades del cargador de Stealc para descargar cargas bártulos adicionales, en este caso, un robador de criptomonedas que puede desviar los activos digitales de los usuarios en máquinas infectadas.
