Correos de Hospital y Rama Judicial en Colombia son usados para enviar correos falsos con archivos SVG que podrían contener malware
Los mensajes llegan con el asunto “notificacion demanda laboral juzgado penal del circuito de rama judicial”. Podría ser parte de una operación que buscar instalar malware en las víctimas.
Despliegan posible ataque digital desde correos administrados por activos digitales de carácter público.
Dos correos electrónicos con dominio de entidades públicas están siendo usados para desplegar un ataque digital cuyas consecuencias se desconocen. La estrategia puede incluir muchos otros correos con similares características.
Muchohacker.lol recibió de un grupo de abogados dos correos electrónicos sospechosos y luego de investigar los datos asociados a estos mensajes se puede afirmar que se trata del despliegue de un ataque digital.
“Sé que un juzgado penal no lleva un proceso laboral”, indicó una de las personas que recibió la comunicación cuya profesión es abogado.
El primer e-mail fue enviado por el correo [email protected]. Llegó a la cuenta de la víctima el pasado miércoles 23 de octubre a las 10:40 a.m. El asunto del mensaje dice “0654-notificacion demanda laboral juzgado 03 penal del circuito de rama judicial -6551211”.
El mensaje en el cuerpo del correo dice: “0552-archivo protegido con contraseña: up05fd”. Junto al mensaje viene un archivo que parece un PDF pero que en realidad es un archivo SVG.
El tipo de archivo adjunto es un formato de gráficos vectoriales. Este tipo de archivos pueden representar un riesgo de seguridad ya que existen varias formas en las que los SVG pueden ser utilizados en ataques digitales ya que pueden incluir scripts con el que un atacante puede insertar código malicioso dentro del archivo.
La estrategia de ataque es generar un documento que parece un PDF. La víctima lo abre, el documento pide una contraseña que va con el archivo adjunto y sin darse cuenta, al activar el código ,se podría instalar algún tipo de código malicioso.
Aparte de las sospechas que genera el archivo adjunto, el correo [email protected] no existe oficialmente. Se concluye luego de revisar la lista de correos del Hospital Universitario Julio Mendez Barreneche de la ciudad de Santa Marta.
Lo que pudo pasar es que un atacante tiene acceso a los activos digitales del hospital y ha creado un correo desde donde ha venido desplegando la estrategia. O de alguna manera aún no identificada, el emisor logra enmascarar un correo para hacerse pasar por uno oficial. En este momento el correo puede estar activo y envía masivamente mensajes como este desde el dominio del hospital sin que nadie en la institución se de cuenta.
Nos comunicamos con el Hospital Universitario Julio Mendez Barreneche de la ciudad de Santa Marta a su cuenta en X pero no respondieron.
Un correo directamente de ramajudicial.gov.co
El segundo correo es más preocupante. Fue enviado el 22 de octubre a las 9:59 de la mañana. Su asunto es “861684-notificacion demanda laboral juzgado 03 penal del circuito de rama judicial -456896”.
Al igual que el anterior mensaje incluye una contraseña y un archivo adjunto SVG.
Lo que lo diferencia del Hospital es que su emisor es un correo supuestamente oficial con el dominio cendoj.ramajudicial.gov.co, dominio que hace parte de la infraestructura digital de la Rama Judicial.
En internet se puede ubicar una lista de correos institucionales de las Oficinas Judiciales y no se encuentra dentro de la lista. https://www.cortesuprema.gov.co/corte/wp-content/uploads/2020/05/ANEXO-4.pdf
El correo desde donde se despliega la estrategia es [email protected] y una búsqueda en Google no lo relaciona con ninguna entidad pública. Como en el hospital, el atacante pudo crear el correo y desde allí efectuar su operación o encontró una forma de enmascarar correos y hacerlos pasar como si fueran de la rama judicial.
La única respuesta a estos interrogantes las tiene las propias entidades. Pero al igual que el caso del Hospital no respondieron ante nuestro llamado.
Riesgos de Seguridad con Archivos SVG
Existen varias formas en las que los SVG pueden ser utilizados en ataques digitales:
Inyección de Código Malicioso: Dado que los archivos SVG pueden incluir scripts (JavaScript), un atacante puede insertar código malicioso dentro del archivo. Al abrir el SVG en un navegador, el código podría ejecutarse y comprometer la seguridad del usuario, accediendo a cookies, credenciales, u otros datos sensibles.
Cross-Site Scripting (XSS): Los SVG pueden ser utilizados en ataques XSS, donde se insertan en una página web confiable, permitiendo que los atacantes ejecuten scripts en el navegador de la víctima. Esto ocurre si el archivo SVG no es sanitizado correctamente antes de cargarse en la página.
Redireccionamiento y Phishing: Un SVG malicioso puede ocultar enlaces que redirigen al usuario a sitios de phishing, engañándolo para que proporcione información confidencial.
Distribución de Malware: Aunque los SVG en sí no pueden contener archivos ejecutables, pueden vincularse a descargas externas o aprovechar vulnerabilidades del navegador para descargar archivos maliciosos.
Ataque desconocido
No es claro qué tipo de ataque se está presentando con estos archivos. El archivo se subió a Virus Total, una base de datos extensa usado por la comunidad de ciberseguridad y no registró algún tipo de anomalía.
Solo se podrá conocer los efectos del archivo hasta que las entidades afectadas o un analista pueda descubrir qué hay detrás del archivo.
Personas a las que les llegue este archivo deben revisar la extensión del archivo. Si se tienen dudas se deben comunicar con las entidades emisoras y tratar de reconfirmar su envío. No se deben insertar claves en correos que lleguen con la extensión SVG.
Si por error o desconocimiento se desbloqueó el archivo con una cable el dispositivo usado pudo ser afectado.