mayo 15, 2025
Lo último:
AtaquesInternacionalesNacionales

Siguen los ataques de Phishing con Archivo .SVG Dirigido a Entidades Colombianas: Remcos RAT en Acción

hyperconectado

En los últimos días, se ha detectado una campaña de phishing dirigida a entidades gubernamentales y organizaciones en Colombia, incluyendo el Consorcio FOPEP bajo el Ministerio de Trabajo, entre otras. Los atacantes están utilizando archivos SVG maliciosos adjuntos en correos electrónicos para distribuir el troyano Remcos RAT, una potente herramienta de acceso remoto utilizada por cibercriminales para el robo de información y el control de sistemas comprometidos.

¿Cómo Funciona el Ataque?

Los atacantes inician el phishing enviando correos fraudulentos que incluyen un archivo SVG adjunto. Aunque el formato SVG (Scalable Vector Graphics) es legítimo y se usa comúnmente para imágenes, en este caso es manipulado para ejecutar código malicioso.

Al abrir el archivo SVG, este descarga automáticamente un archivo ZIP protegido con contraseña que contiene el malware. La contraseña evita que las herramientas de seguridad analicen el contenido antes de que se ejecute, lo que facilita la infección.

El payload malicioso aprovecha una técnica llamada DLL sideloading, abusando de un archivo legítimo como ciscosparklauncher.dll para cargar el Remcos RAT. Además, los atacantes utilizan un controlador vulnerable, zamguard64.sys, asociado a Zemana Anti-Malware, para desactivar productos de antivirus y evadir la detección.

Este método permite que el malware opere sin ser detectado, comprometiendo la seguridad del sistema. La combinación de técnicas sofisticadas hace que este ataque sea especialmente peligroso.

Entidades Objetivo

Entre las víctimas identificadas se encuentran:

  • Consorcio FOPEP (Ministerio de Trabajo de Colombia)
  • Municipio de Palermo
  • Fundación Grupo Social
  • Fiduciaria Central S.A
  • Municipio de Florencia

Recomendaciones de Seguridad

  1. No abrir archivos adjuntos sospechosos, especialmente SVG, ZIP o documentos de fuentes desconocidas.
  2. Verificar el remitente antes de interactuar con correos que solicitan acciones urgentes.
  3. Actualizar soluciones de seguridad y monitorear actividades sospechosas en la red.

Post posible gracias a investigación de WhichbufferArda

También te puede gustar

¿Ataque a Canal Capital ?

hyperconectado

Supuesto ataque de denegación de servicio a página web de la Presidencia de Colombia

hyperconectado

Colombian Hackers publica información privada de miles de empleados y clientes asociados a la telefónica Tigo

hyperconectado

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *