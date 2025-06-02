A lo largo de 2025, IBM X-Force ha estado rastreando una campaña de phishing dirigida a instituciones financieras de todo el mundo. Esta operación aprovechó archivos Escalable Vector Graphics (SVG) armados con JavaScript para iniciar infecciones de malware en varias etapas. Aunque el uso de SVGs en el phishing no es nuevo, reportes recientes indican un aumento notable en esta táctica, señalando un cambio más amplio en el escenario.
Esta campaña va más allá de la recolección tradicional de credenciales: emplea cargadores avanzados, troyanos de acceso remoto (RAT) modulares e infraestructura confiable como Amazon S3 y Telegram para comando y control (C2). La actividad muestra cómo los atacantes están evolucionando las técnicas de phishing hacia operaciones de acceso inicial a gran escala.
El análisis de X-Force descubrió una campaña global de phishing que aprovechaba los archivos SVG como vector de ataque inicial. Estos archivos, disfrazados de documentos de transacciones financieras, contienen JavaScript incrustado que escribe un archivo ZIP en el sistema. Dentro del archivo, un archivo JavaScript despliega una cadena de infección de malware—en última instancia, desplegando RAT como Blue Banana, SambaSpy y SessionBot. Estas cargas útiles están diseñadas para el robo de credenciales, el secuestro de sesiones, la vigilancia y la exfiltración de datos, lo que plantea riesgos significativos para las organizaciones objetivo.
El malware se comunica a través de Amazon S3 y la API de Telegram bot, mezclándose con el tráfico legítimo y complicando los esfuerzos de detección. Al utilizar un formato de archivo que rara vez se analiza en los filtros de phishing, la campaña elude las defensas tradicionales con facilidad.
Este enfoque refleja un patrón emergente en reportes OSINT recientes, blogs técnicos y análisis de la industria, que destaca cómo los SVG se emplean cada vez más para incorporar cargadores de malware y redirigir a las víctimas a contenido malicioso.
En particular, el uso de señuelos temáticos de SWIFT en la campaña, que hace referencia a la Society for Worldwide Interbank Financial Telecommunication (SWIFT), la red global utilizada por las instituciones financieras para la mensajería segura, sugiere un enfoque deliberado en las víctimas del sector financiero.
Esta actividad ilustra una tendencia más amplia en las técnicas de phishing: los atacantes están pasando del robo de credenciales a la distribución de malware avanzado utilizando vectores creativos y discretos. Los defensores deben adaptar la lógica de detección y la capacitación de los empleados en consecuencia, reconociendo que incluso los tipos de archivos inocuos como los SVG ahora pueden actuar como plataformas de entrega de malware.
A diferencia de las campañas típicas de phishing que tienen como objetivo el robo de credenciales a través de páginas de inicio de sesión falsificadas, esta campaña pasó de ser un señuelo a un cargador, convirtiendo lo que parecía ser un archivo de imagen en el punto de partida de una cadena de infección de malware de varias etapas.
La fase de acceso inicial de la campaña implicó correos electrónicos de phishing que se hacían pasar por SWIFT Global Services, instando a los destinatarios a revisar las confirmaciones urgentes de pago o transferencia. El archivo adjunto, presentado como un documento legítimo, era un SVG armado que contenía JavaScript.
Una vez renderizado, se incita a la víctima a descargar un informe que parece ser un archivo PDF; sin embargo, al seleccionar cualquiera de los dos PDF se activa el JavaScript para guardar un archivo ZIP en el sistema.
Una vez que se extrae y descomprime el archivo, las víctimas encuentran un archivo llamado Swift Transaction Report.js que contiene JavaScript ofuscado. El script se diseñó para evadir la detección mediante la codificación de escape Unicode y técnicas de concatenación de cadenas. Al ejecutar el script, se descargará un archivo Java Archive (JAR) muy ofuscado, como Swift Confirmation Copy.jar y Tranzacție+în+USD-pdf.jar. Estos actuaron como descargadores de primera etapa, aprovechando ofuscadores como Branchlock y Zelix KlassMaster para evadir el análisis estático y de comportamiento.
IBM X-Force analizó algunas muestras SVG que descargaban el descargador JAR en lugar del archivo ZIP que contenía el JavaScript, omitiendo una etapa de la cadena de infección.
Si el sistema de destino tenía instalado Java Runtime Environment (JRE), el cargador ejecutaba e iniciaba una serie de comprobaciones ambientales para detectar sandbox o herramientas de análisis. Estos incluyeron la inspección de procesos del sistema, entropía e indicadores de virtualización. Solo después de validar un entorno de usuario real, el malware intentó recuperar las cargas útiles de la segunda etapa.
Para hacerlo, recurrió a buckets de Amazon S3 controlados por atacantes, mezclando descargas maliciosas con tráfico de servicios en la nube que de otro modo sería confiable. Algunas variantes incrustaron las cargas útiles cifradas dentro de archivos señuelo de aspecto benigno para reducir aún más la probabilidad de detección durante la transferencia.
Una vez que se pasaron las comprobaciones de evasión, el cargador estableció conexiones salientes a los buckets de Amazon S3 controlados por el atacante para recuperar cargas útiles cifradas de segunda etapa. El uso de infraestructura basada en la nube añadió complejidad a los esfuerzos de detección, ya que el tráfico hacia servicios como amazonaws.com a menudo se mezcla con la actividad normal de la empresa.
Se observó que las cargas útiles se descargaban desde:
Tras el descifrado y desempaquetado, el malware escribió archivos en ubicaciones clave de persistencia, que incluyen:
Además de la persistencia basada en archivos, algunas variantes registraban tareas programadas o modificaban las claves de ejecución automática del registro para mantener el acceso tras los reinicios del sistema. Varias muestras también retrasaban la ejecución o bloqueaban funcionalidades basadas en la interacción del usuario, complicando aún más la detección a través del sandbox automatizado.
El malware desplegado en esta campaña exhibe una arquitectura modular, lo que permite a los operadores adaptar la funcionalidad en función del entorno y los objetivos de la víctima. IBM X-Force observó el uso de múltiples cargas útiles con capacidades superpuestas de vigilancia, robo de datos y persistencia.
Además, la campaña empleó un ladrón de correo electrónico centrado en Outlook ( email.js ) ejecutado a través de wscript.exe.
Escaneó en busca de perfiles de Outlook, extrajo el contenido de la bandeja de entrada y preparó los datos para su exfiltración a través de solicitudes HTTP POST basadas en Telegram. Para ocultar su actividad, el malware soltó archivos señuelo de aspecto benigno (por ejemplo, Tranzacție+în+USD-pdf.txt, Swift Confirmation Copy.pdf) que se abría tras la ejecución, reforzando la ilusión de legitimidad mientras se ejecutaban procesos maliciosos en segundo plano.
Además de la infraestructura de Amazon S3 descrita anteriormente, la campaña aprovechó la API Bot de Telegram para el comando y control (C2) posterior al compromiso. Este enfoque permitió a los actores de amenazas interactuar con los hosts infectados, extraer datos confidenciales y emitir instrucciones de forma dinámica, todo ello a través de una infraestructura de mensajería cifrada comúnmente permitida en entornos empresariales.
Las comunicaciones de C2 se enrutaron a través de:
Estos canales se utilizaron para el reconocimiento del sistema, la extracción de datos de la bandeja de entrada de Outlook y la captura de archivos mediante módulos de malware como SessionBot y el correo electrónico.js ladrón de Outlook. El uso de Telegram proporcionaba anonimato, cifrado y facilidad operativa, además de complicar la detección mediante la monitorización convencional de la red.
Este modelo de infraestructura de doble canal, combinando alojamiento de carga útil basada en la nube con mensajería cifrada, refleja una tendencia creciente entre los actores de amenazas motivados financieramente para mezclar el tráfico malicioso en servicios confiables, prolongando el tiempo de espera y aumentando la probabilidad de éxito.
X-Force observó evidencia de un cambio del uso de señuelos con temática de SWIFT a un señuelo con temática de investigación de delitos financieros a partir de finales de abril.
El archivo SVG que utiliza este tema guardó un archivo JAR, Caso No.86-2025.jar, al disco. Este JAR es el mismo descargador basado en Java utilizado en la campaña temática de SWIFT. Otro cambio incluyó una RAT basada en Java, 'STRRAT', que se observó que se descargaba junto con las RAT SambaSpy y Blue Banana. STRRAT es conocido por sus capacidades de robo de información y su flexibilidad para ofrecer múltiples funciones maliciosas. A pesar de ser relativamente ligero, STRRAT es capaz de imitar el comportamiento del ransomware y permitir el control remoto total sobre los sistemas infectados.
Esta campaña refleja una evolución más amplia en el comercio de phishing, yendo más allá de la recolección de credenciales hacia la entrega modular de malware, el acceso a largo plazo y la exfiltración de datos. Al abusar de los archivos SVG, un formato que los filtros de seguridad suelen pasar por alto, los actores de amenazas demuestran su voluntad de explotar las brechas en la lógica de detección convencional.
El uso de señuelos con temas de SWIFT destaca un enfoque deliberado en las instituciones financieras, aprovechando la familiaridad y la confianza para mejorar las tasas de clics. En combinación con una infraestructura basada en la nube y canales de mensajería encriptados como Telegram, los atacantes combinan eficazmente la actividad maliciosa con el tráfico normal, lo que reduce la probabilidad de detección temprana.
Para los defensores, esto subraya la necesidad de reevaluar los supuestos sobre los tipos de archivos "seguros" y la infraestructura benigna. El phishing ya no es solo un problema de correo electrónico: es un punto de entrada a ataques de intrusión sofisticados y de varias etapas. Las organizaciones deben mantenerse alerta, ampliando la visibilidad a vectores no tradicionales y adaptando continuamente la lógica de detección para que coincida con el ritmo de la innovación de los atacantes.
Las organizaciones pueden reducir su exposición a campañas como esta combinando la visibilidad de endpoint, la configuración segura y la educación de los usuarios.
Indicador
Tipo de indicador
Contexto
141e8bf99ff6b58816951ed8bfd82
Hash de archivo SHA256
Tranzacție+în+USD-pdf.jar (descargador de Java)
ae345b40d165255284bf4c6ab00
Hash de archivo SHA256
Swift Confirmation Copy.jar (descargador de Java)
a4ed118f15c5c943d5964fe381f1bd
Hash de archivo SHA256
Caso No.86-2025.jar (descarga de Java)
6a9f195f6fa9b298b94235b9b7dfa
Hash de archivo SHA256
email.js (ladrón de correo electrónico de Outlook)
8bcba87df6d459a573441fb848b9
Hash de archivo SHA256
Swift Confirmation Copy.pdf (archivo señuelo)
701435e822a78b82d53281af3ffb2
Hash de archivo SHA256
Swift Transaction Report.js (descargador de JavaScript)
f92240185abf62317800180aba0fb
Hash de archivo SHA256
windowsdefi.jar (Blue Banana RAT)
b0dcc56ae5e90f6f2f4d05c679508
Hash de archivo SHA256
soso.jar (SambaSpy RAT)
bc039b022d1a60cb519ae0f43f07d
Hash de archivo SHA256
core.jar (STRRAT RAT)
6ebab76c90cb36c09119a922d385
Hash de archivo SHA256
tg.jar (SessionBot Implant)
tcp[:]//wwce.zapto[.]org:443
Dominio
C2 para SambaSpy y Blue Banana RAT
tcp[:]//wce.zapto[.]org:443
Dominio
C2 para SambaSpy y Blue Banana RAT
str-master[.]pw
Dominio
C2 para STRRAT
api.telegram[.]org
Dominio
Exfiltración y comunicación con bot a través de la API de Telegram
https[:]//octupusgreat.s3.us-east-1.amazonaws[.]COM
URL
Carga útil inicial alojada en el bucket de Amazon S3
https[:]//seasongretting.s3.eu-west-1.amazonaws[.]COM
URL
Cargas útiles alojadas en el bucket de Amazon S3
https[:]//seasonmonster.s3.us-east-1.amazonaws[.]COM
URL
Cargas útiles alojadas en el bucket de Amazon S3
https[:]//fullpremier.s3.eu-west-1.amazonaws[.]COM
URL
Cargas útiles alojadas en el bucket de Amazon S3
java -jar Tranzacție+în+USD-pdf.jar
Proceso
Comando de ejecución de malware
tasklist.exe
Proceso
Utilizado por malware para enumerar herramientas de análisis
wscript.exe email.js
Proceso
Ejecuta el proceso de robo de correo electrónico
swiftzjy1@financeplus[.]me
Dirección de correo electrónico
Correo electrónico del actor de amenazas
swiftkbp1@farmaciafamiliei[.]md
Dirección de correo electrónico
Correo electrónico del actor de amenazas
swiftkcs1@farmaciafamiliei[.]md
Dirección de correo electrónico
Correo electrónico del actor de amenazas
swiftotb1@financeplus[.]me
Dirección de correo electrónico
Correo electrónico del actor de amenazas
swiftugt1@financeplus[.]me
Dirección de correo electrónico
Correo electrónico del actor de amenazas
swiftvqz1@financeplus[.]me
Dirección de correo electrónico
Correo electrónico del actor de amenazas
swiftzjy1@financeplus[.]me
Dirección de correo electrónico
Correo electrónico del actor de amenazas
Copia de confirmación de Swift.jar
Archivo Java Archive
JAR malicioso utilizado en la ejecución inicial
Swift Transaction Report.js
Archivo JavaScript
Cargador de JavaScript ofuscado
Swift Confirmation Copy.pdf
Archivo PDF
Se muestra el archivo PDF Decoy después de la infección inicial
