Los investigadores de ciberseguridad han señalado una nueva campaña de malware que ha aprovechado los archivos de gráficos vectoriales escalables (SVG) como parte de los ataques de phishing que se hacen pasar por el sistema judicial colombiano.
Los archivos SVG, según VirusTotal, se distribuyen por correo electrónico y están diseñados para ejecutar una carga útil de JavaScript incrustada, que luego decodifica e inyecta una página de phishing HTML codificada en Base64 que se hace pasar por un portal de la Fiscalía General de la Nación, la Fiscalía General de Colombia.
Luego, la página simula un proceso oficial de descarga de documentos gubernamentales con una barra de progreso falsa, mientras activa sigilosamente la descarga de un archivo ZIP en segundo plano. No se reveló la naturaleza exacta del archivo ZIP.
El servicio de escaneo de malware propiedad de Google dijo que encontró 44 archivos SVG únicos, todos los cuales no han sido detectados por los motores antivirus, debido al uso de técnicas como ofuscación, polimorfismo y grandes cantidades de código basura para evadir los métodos de detección estáticos.
En total, se han detectado hasta 523 archivos SVG en la naturaleza, y la muestra más antigua se remonta al 14 de agosto de 2025.
"Mirando más profundamente, vimos que las primeras muestras eran más grandes, alrededor de 25 MB, y el tamaño disminuyó con el tiempo, lo que sugiere que los atacantes estaban evolucionando sus cargas útiles", dijo VirusTotal.
La revelación se produce cuando se utilizan versiones crackeadas de software legítimo y tácticas al estilo de ClickFix para atraer a los usuarios a infectar sus sistemas Apple macOS con un ladrón de información llamado Atomic macOS Stealer (AMOS), exponiendo a las empresas al relleno de credenciales, el robo financiero y otros ataques posteriores.
"AMOS está diseñado para un amplio robo de datos, capaz de robar credenciales, datos del navegador, billeteras de criptomonedas, chats de Telegram, perfiles VPN, elementos de llaveros, Apple Notes y archivos de carpetas comunes", dijo Trend Micro. "AMOS muestra que macOS ya no es un objetivo periférico. A medida que los dispositivos macOS ganan terreno en entornos empresariales, se han convertido en un enfoque más atractivo y lucrativo para los atacantes".
La cadena de ataque consiste esencialmente en dirigirse a los usuarios que buscan software crackeado en sitios como haxmac[.]cc, redirigiéndolos a enlaces de descarga falsos que proporcionan instrucciones de instalación diseñadas para engañarlos para que ejecuten comandos maliciosos en la aplicación Terminal, lo que desencadena la implementación de AMOS.
Vale la pena señalar que Apple evita la instalación de archivos .dmg que carecen de una certificación notarial adecuada debido a las protecciones Gatekeeper de macOS, que requieren que los paquetes de aplicaciones estén firmados por un desarrollador identificado y notariados por Apple.
"Con el lanzamiento de macOS Sequoia, los intentos de instalar archivos .dmg maliciosos o sin firmar, como los utilizados en las campañas de AMOS, se bloquean de forma predeterminada", agregó la compañía. "Si bien esto no elimina el riesgo por completo, especialmente para los usuarios que pueden eludir las protecciones integradas, eleva la barrera para las infecciones exitosas y obliga a los atacantes a adaptar sus métodos de entrega".
Esta es la razón por la que los actores de amenazas confían cada vez más en ClickFix, ya que permite que el ladrón se instale en la máquina usando Terminal mediante un comando curl especificado en la página de descarga del software.
"Si bien las protecciones mejoradas de Gatekeeper de macOS Sequoia bloquearon con éxito las infecciones tradicionales basadas en .dmg, los actores de amenazas cambiaron rápidamente a métodos de instalación basados en terminales que demostraron ser más efectivos para eludir los controles de seguridad", dijo Trend Micro. "Este cambio destaca la importancia de las estrategias de defensa en profundidad que no se basan únicamente en las protecciones integradas del sistema operativo".
El desarrollo también sigue al descubrimiento de una "campaña cibernética en expansión" que se dirige a los jugadores en busca de trampas con el ladrón StealC y el malware de robo de criptomonedas, lo que genera a los actores de amenazas más de USD 135,000.
Según CyberArk, la actividad es notable por aprovechar las capacidades del cargador de StealC para descargar cargas útiles adicionales, en este caso, un ladrón de criptomonedas que puede desviar activos digitales de los usuarios en máquinas infectadas.
