Se ha identificado una nueva campaña de phishing dirigida principalmente a organizaciones en EE. UU., donde los atacantes probablemente utilizaron modelos de lenguaje de gran tamaño (LLM) para ofuscar cargas maliciosas y evadir defensas de seguridad.
La técnica consistió en ocultar el comportamiento dentro de un archivo SVG, empleando terminología empresarial y una estructura sintética para disfrazar la intención maliciosa. Esto evidencia cómo los actores de amenazas están incorporando cada vez más IA generativa en sus flujos de ataque, creando señuelos de phishing más convincentes, automatizando la ofuscación de malware y generando código que imita contenido legítimo.
Flujo del ataque
- Acceso inicial: los atacantes usaron una cuenta de correo empresarial comprometida para enviar mensajes de phishing.
- Señuelo: los correos simulaban ser notificaciones de intercambio de archivos, pero el supuesto PDF era en realidad un SVG.
- Evasión: los mensajes utilizaban la táctica de “correo autodirigido”, donde remitente y destinatario coinciden, ocultando a las verdaderas víctimas en el campo CCO.
- Uso del SVG: este formato es atractivo porque es basado en texto, soporta JavaScript y permite incrustar código dinámico, lo que facilita:
- Elementos invisibles.
- Atributos codificados.
- Ejecución de scripts retrasada.
- Con ello, los atacantes logran evadir análisis estático y sandboxing.
- Redirección: al abrir el archivo, la víctima es llevada a una página con CAPTCHA, y después a un portal falso para robar credenciales.
Tácticas de ofuscación
Lo más distintivo de esta campaña fue el uso de terminología empresarial para camuflar el código malicioso dentro del SVG.
- El archivo aparentaba ser un panel de análisis de datos.
- El código incluía largas secuencias con términos como ingresos, operaciones, riesgo, trimestre, crecimiento o acciones, diseñados para distraer a cualquiera que lo inspeccione.
La complejidad, verbosidad y modularidad del código sugieren que fue generado por un LLM, ya que incluía:
- Nombres excesivamente descriptivos y redundantes.
- Comentarios genéricos y detallados.
- Estructura sobre diseñada.
- Técnicas formulaicas para la ofuscación.
Evolución de campañas similares
Este caso se suma a otras campañas recientes donde:
- Se usaron archivos .XLAM para desplegar el troyano XWorm RAT mediante cargas en memoria con inyección de DLL reflexiva.
- Se emplearon señuelos relacionados con la Administración del Seguro Social de EE. UU. o con violaciones de derechos de autor para distribuir malware como Lone None Stealer y PureLogs Stealer.
- Algunos ataques aprovecharon incluso perfiles de bots de Telegram para distribuir cargas iniciales basadas en scripts de Python ofuscados.
Defensa contra estas amenazas
Frente a ataques de phishing cada vez más sofisticados, donde se combinan archivos ofuscados, IA generativa y técnicas de evasión, las organizaciones necesitan defensas avanzadas.
Las soluciones de Sophos ofrecen protección integral al combinar:
- Sophos Email Security: filtros avanzados contra phishing, spear phishing y adjuntos maliciosos.
- Intercept X con XDR: detección y respuesta extendida para identificar actividades sospechosas en endpoints y servidores.
- Sophos Firewall: inspección profunda de tráfico para detectar cargas ocultas en formatos como SVG o archivos ofuscados.
- Sophos MDR (Managed Detection and Response): monitoreo proactivo 24/7 por analistas expertos que investigan y neutralizan campañas activas de phishing y malware.
Con esta capa múltiple de protección, Sophos ayuda a las organizaciones a mitigar riesgos como el uso de LLM en campañas de phishing, reduciendo la superficie de ataque y acelerando la detección y respuesta frente a amenazas emergentes.
