Análisis de X-Force descubrió una campaña global de phishing que aprovechaba los archivos SVG como vectores de ataque inicial. Estos archivos, disfrazados de documentos de transacciones financieras, contienen JavaScript incrustado que escribe un archivo ZIP en el sistema. Dentro del archivo, un archivo JavaScript inicia una cadena de infección de malware: en última instancia, implementa RAT como Blue Banana, SambaSpy y SessionBot. Estas cargas útiles están diseñadas para el robo de credenciales, el secuestro de sesiones, la vigilancia y la exfiltración de datos, lo que plantea riesgos significativos para las organizaciones objetivo.

El malware se comunica a través de Amazon S3 y la API de Telegram bot, mezclándose con el tráfico legítimo y complicando los esfuerzos de detección. Al utilizar un formato de archivo raramente analizado en los filtros de phishing, la campaña elude las defensas tradicionales con facilidad.

Este enfoque refleja un patrón emergente en informes de OSINT, blogs técnicos y análisis de la industria, destacando cómo cada vez más se hace un mal uso de los SVG para incrustar cargadores de malware y redirigir a las víctimas a contenidos maliciosos.

En particular, el uso de señuelos temáticos de SWIFT en la campaña, que hace referencia a la Sociedad para las Telecomunicaciones Financieras Interbancarias Mundiales (SWIFT), la red global utilizada por las instituciones financieras para la mensajería segura, sugiere un enfoque deliberado hacia las víctimas del sector financiero.

Esta actividad ilustra una tendencia más amplia en el espionaje con phishing: los atacantes están yendo más allá del robo de credenciales para entregar malware avanzado utilizando vectores creativos y de bajo perfil. Los defensores deben adaptar la lógica de detección y la formación de los empleados en consecuencia, reconociendo que incluso los tipos de archivos inocuos como los SVG pueden actuar ahora como plataformas de entrega de malware.