La plataforma reveló cómo los cibercriminales usaron gráficos vectoriales escalables para simular portales judiciales de Colombia y engañar a usuarios con descargas maliciosas.
La reciente incorporación de compatibilidad con archivos SVG en la función AI Code Insight de VirusTotal permitió destapar una sofisticada campaña de phishing. Hasta entonces, más de 500 archivos maliciosos habían pasado desapercibidos para los antivirus tradicionales.
“Esto es donde Code Insight ayuda más: da contexto, ahorra tiempo y enfoca en lo que realmente importa. No es magia ni reemplaza el análisis experto, pero es una herramienta más para cortar el ruido y llegar al punto más rápido”, señaló VirusTotal al anunciar el hallazgo.
El descubrimiento inicial se produjo cuando la plataforma analizó un archivo SVG que no mostraba ninguna alerta en los escáneres de seguridad convencionales. Sin embargo, el motor de IA detectó el uso de JavaScript y elementos HTML diseñados para imitar un portal del sistema judicial colombiano.
Según explicó la compañía, el archivo mostraba un portal falso con barras de progreso y credenciales simuladas. “El sitio de phishing incluye números de casos, tokens de seguridad y pistas visuales para generar confianza, todo ello construido dentro de un archivo SVG”, detalló VirusTotal.
El engaño culminaba al solicitar la descarga de un archivo comprimido con contraseña, cuyo acceso se entregaba directamente en la página fraudulenta. Dentro del paquete se encontraban un ejecutable legítimo del navegador Comodo Dragon renombrado como si fuera un documento judicial, un DLL malicioso y dos archivos aparentemente cifrados.
El riesgo principal radicaba en que, al ejecutar el programa legítimo renombrado, el DLL era cargado de manera encubierta, permitiendo la instalación de más malware en el sistema de la víctima.
El uso de archivos SVG (Scalable Vector Graphics) en ataques no es nuevo, pero se ha intensificado. Aunque estos archivos se emplean para generar imágenes mediante fórmulas matemáticas, también pueden mostrar HTML con la etiqueta <foreignObject> y ejecutar código JavaScript al cargarse, lo que abre la puerta a abusos.
VirusTotal confirmó que, tras identificar el primer archivo sospechoso, pudo rastrear otros 523 SVGs previamente subidos que pertenecían a la misma operación delictiva. Sin la nueva capacidad de su herramienta de IA, esta campaña probablemente habría seguido sin detectarse.