La IA de Virustotal descubre la campaña de malware de un año oculta en archivos SVG

Published by All Things Windows on

Virustotal ha descubierto una campaña de malware de un año que utilizó archivos de imagen SVG maliciosos para hacerse pasar por el sistema judicial colombiano, evadiendo la detección tradicional de antivirus. El descubrimiento ocurrió esta semana después de que Virustotal actualizó su plataforma de Code Insight con alimentación de IA para analizar los archivos SVG.

La herramienta marcó inmediatamente un archivo que, a pesar de tener cero detecciones, contenía un ataque de phishing sofisticado. Este descubrimiento único permitió a los investigadores descubrir una campaña más amplia que involucra más de 500 archivos. La operación destaca una tendencia creciente de atacantes que usan imágenes con guiones.

Este incidente subraya el papel crítico de la IA en la identificación de amenazas previamente invisibles que vuelan bajo el radar de las herramientas de seguridad basadas en la firma.

ai captura lo que el antivirus tradicional se perdió

href=”https://blog.virustotal.com/2025/09/covering-ocococo–malware-campaign.html”target=”_ en blanco”> Breakthrough vino Justo después de que virustotal desplegó una actualización de su herramienta de información de código, agregando soporte para analizar los archivos SWF y SVG. Casi de inmediato, se presentó un archivo SVG sospechoso de que ningún motor antivirus marcado como malicioso. Sin embargo, el análisis de IA contó una historia diferente.

El resumen de Code Insight fue directo y alarmante. Informó:”Este archivo SVG ejecuta una carga útil de JavaScript integrada al renderizar. El script decodifica e inyecta una página de phishing HTML codificada por base64 que se hace pasar por un portal del sistema judicial gubernamental colombiano”

Este contexto infundido de AI proporcionó la primera culpa crítica de que un atacado en el ataque sofisticado y desetetado, lo que se le impulsó a un contexto profundo que se le había dado una inversión profunda. Un archivo benigno.

Cómo una imagen SVG se convierte en un gotero de malware

Los atacantes son cada vez más ardientes archivos SVG porque su estructura basada en XML permite scripts integrados, una característica que no está presente en formatos como JPEG o PNG. Esta campaña explotó esa capacidad al máximo. El SVG malicioso, cuando se abre en un navegador, representa un portal del gobierno falso.

Este portal simula una descarga de archivos con una barra de progreso, construyendo confianza del usuario mientras ejecuta su carga útil. En el fondo, el JavaScript incrustado decodifica una gran cadena Base64, que es un archivo ZIP malicioso, y

El archivo descargado contiene un ejecutable legítimo y una DLL maliciosa. Cuando el usuario ejecuta el ejecutable, se acerca la DLL, instalando más malware en el sistema. Este proceso de múltiples etapas está diseñado para evitar las verificaciones de seguridad en cada paso.

De un solo archivo a una campaña de un año

armado con los hallazgos iniciales de la IA, los investigadores virustotales pivotaron para descubrir el alcance total de la operación. Una consulta de búsqueda simple en Virustotal Intelligence, basada en el informe de Code Insight, surgió instantáneamente 44 archivos SVG similares y no detectados.

Los atacantes cometieron un error de seguridad operacional crucial: dejar comentarios en el lenguaje español en su código, como”poliformismo_masivo_seguro”(polimorfismo masivo seguro). Los investigadores utilizaron estas cuerdas únicas para crear una regla de Yara, una firma para las amenazas de caza.

Una retrohunt utilizando esta regla en la base de datos de Virustotal devolvió 523 coincidencias. La primera muestra que se remonta al 14 de agosto de 2024, también se presentó desde Colombia y también con cero detecciones AV en ese momento. Esto reveló que la campaña había estado operando con éxito durante más de un año.

una marea creciente de ataques basados ​​en SVG

Esta campaña colombiana es un excelente ejemplo de una tendencia más amplia. Como WinBuzzer informó a principios de este año, los investigadores de seguridad han visto un aumento dramático en los ataques de phishing basados ​​en SVG a lo largo de 2025. Estos archivos a menudo evitan las puertas de puertas de correo electrónico porque se clasifican con un tipo de mime de imagen.

Esta técnica no es completamente nueva; Cisco Talos documentó el malware Qakbot que usa SVGS para el contrabando de carga útil en 2022. Sin embargo, la onda actual se centra más directamente en el robo de credenciales y la entrega de malware, a menudo dirigido a los servicios en la nube.

La evolución de estas tácticas demuestra el juego constante de gato y ratón en ciberese. Como señaló Bernardo Quintero de Virustotal:”Aquí es donde el código de código ayuda más: dar contexto, ahorrar tiempo y ayudar a centrarse en lo que realmente importa. No es magia, y no reemplazará el análisis de expertos…”

Kaspersky investigadores que se han hecho eco de este sentimiento, advirtiendo que”… el uso de SVG como contenedor de contenedores malicioso también puede ser empleado en más de ataques en el que se emplea en más de ataques de ataurados en más de los ataurados. El potencial de Vector para operaciones más específicas.

Categories: IT Info

Related Posts

IT Info

Júpiter: Europa lanza su primera supercomputadora de Exascale a Power AI y Science

Europa ha inaugurado a Júpiter, su primera supercomputadora de Exascale. Ubicado en Alemania, el sistema alimentado por NVIDIA establece nuevos estándares en rendimiento y eficiencia energética. El post jupite

IT Info

Habilite la función de currículum de la aplicación de dispositivos móviles en Windows 11

El artículo explica cómo habilitar o deshabilitar la función de reanudar la aplicación para dispositivos móviles en Windows 11, lo que permite a los usuarios continuar sin problemas utilizando aplicaciones de Android en sus PC. Este entero

IT Info

Anthrope para pagar un registro de $ 1.5 mil millones en Landmark AI Copyright Sastlement con autores de libros

La firma de IA Anthrope pagará al menos $ 1.5 mil millones para poner fin a una importante demanda por derechos de autor de los autores. El acuerdo se presentó en un tribunal de San Francisco el viernes. Detiene un juicio sobre el uso de la empresa