Una imagen basta para dejar al antivirus indefenso: el SWF resurge como la herramienta perfecta para los hackers

Los ciberdelincuentes lanzaron una nueva ola de ataques en la que se usan archivos SVG para distribuir páginas de phishing. Los especialistas de VirusTotal informaron que los atacantes se hacen pasar por la Fiscalía de Colombia, difundiendo por correo electrónico adjuntos que contienen JavaScript oculto. El análisis automático mostró un comportamiento que los motores antivirus no pudieron detectar.

SWF, formalmente un formato "obsoleto" desde la desactivación de Flash en 2020, sigue apareciendo en el tráfico. En 30 días VirusTotal recibió 47 812 archivos SWF únicos previamente desconocidos, y 466 de ellos provocaron detecciones al menos en un motor antivirus. En uno de los casos solo 3 detecciones de 63 indicaban rasgos "sospechosos" y una vulnerabilidad antigua, pero el análisis detallado reveló un trabajo complejo con renderizado 3D, audio y un editor de niveles integrado. Clases ofuscadas, el uso de RC4/AES y la recopilación de información del sistema parecían preocupantes, pero correspondían a la lógica de protección contra trampas y modificaciones. No se detectó comportamiento malicioso.

SVG — la antítesis en espíritu y época: un estándar abierto para la web y el diseño. Por eso lo prefieren los atacantes. En los últimos 30 días VirusTotal recibió 140 803 archivos SVG únicos previamente desconocidos, de los cuales 1 442 fueron marcados por al menos un motor. Una de las muestras no fue detectada por ningún motor, pero al renderizar ejecutaba un script incrustado que decodificaba e insertaba una página HTML de phishing que imitaba el portal del sistema judicial colombiano. Para ser creíble, la página simulaba la carga de documentos con una barra de progreso, mientras en segundo plano se descargaba un archivo ZIP que se forzaba a descargar. El comportamiento fue confirmado en la sandbox: elementos visuales, números de casos, "tokens de seguridad" — todo en su lugar, aunque sea solo una imagen SVG.

Según VirusTotal, no es un caso aislado. Una consulta del tipo type:svg que mencionaba a Colombia devolvió 44 SVG únicos, todos sin detecciones antivirus, pero con la misma táctica: ofuscación, polimorfismo, código voluminoso de "relleno" para aumentar la entropía. Además, en los scripts quedaron comentarios en español como "POLIFORMISMO_MASIVO_SEGURO" y "Funciones dummy MASIVAS", un punto débil apto para una sencilla regla YARA.

La búsqueda anual arrojó 523 coincidencias. La muestra más temprana data del 14 de agosto de 2025, también cargada desde Colombia y también sin detecciones. El reanálisis confirmó la misma táctica de phishing y descarga oculta. Los primeros ejemplares eran más grandes — alrededor de 25 MB; luego el tamaño disminuyó, lo que indica mejoras en la carga útil. El canal de entrega fue el correo electrónico, lo que permitió vincular la cadena por metadatos de remitentes, asuntos y nombres de adjuntos.