La compañía de ciberseguridad identificó un ataque que distribuye el troyano AsyncRAT a través de correos electrónicos con adjuntos aparentemente inofensivos.

La empresa de seguridad informática Eset encendió las alarmas tras detectar una campaña maliciosa que circula principalmente en Colombia y que aprovecha archivos en formato SVG (gráficos vectoriales escalables) generados de manera masiva con apoyo de modelos de inteligencia artificial.

El objetivo: instalar en los dispositivos de las víctimas AsyncRAT, un troyano de acceso remoto capaz de robar información sensible y controlar el equipo de forma encubierta.

Así opera el engaño

El ataque comienza con un correo electrónico que simula provenir de una entidad oficial —como una citación judicial o una notificación de demanda— y que incluye como adjunto un archivo .svg.

Aunque parece ser una imagen, en realidad contiene código malicioso embebido.

Al abrirlo, el usuario observa una interfaz que simula un proceso legítimo (por ejemplo, la preparación de documentos para descarga).

Esta simulación, ejecutada completamente dentro del archivo, culmina con la descarga automática de un archivo comprimido protegido con contraseña. Dentro del ZIP se oculta un ejecutable que, al ser abierto, activa la instalación del malware.

“Lo más preocupante de esta campaña es que todo el engaño ocurre dentro del propio archivo SVG, sin necesidad de conectarse a un servidor remoto. Esta característica dificulta su seguimiento basado en el monitoreo de tráfico o reputación de sitios”, explicó Camilo Gutiérrez Amaya, jefe del Laboratorio de investigación de Eset Latinoamérica.

Personalización y uso de IA

A diferencia de campañas anteriores, los atacantes generan archivos únicos para cada víctima, con datos aleatorios que complican su detección.

Según los investigadores, existen señales de que los cibercriminales estarían utilizando plantillas creadas con inteligencia artificial, lo que les permite diseñar interfaces más convincentes pese a presentar algunas inconsistencias técnicas.

El análisis de ESET reveló además que las detecciones de este tipo de código malicioso mostraron picos a mitad de semana durante agosto, con foco particular en usuarios colombianos.

AsyncRAT, el malware en el centro del ataque

El programa malicioso instalado es AsyncRAT, un troyano que otorga a los atacantes acceso total al dispositivo: registro de pulsaciones de teclado, robo de credenciales, manipulación de archivos, y activación remota de la cámara y el micrófono.

Para hacerlo, utiliza la técnica de DLL Sideloading, que permite ejecutar código malicioso mediante archivos aparentemente legítimos.

“El nivel de sofisticación de esta campaña no radica en el malware, que ya es conocido, sino en la manera de entregarlo. Al combinar SVG smuggling sin conexión externa, automatización en la generación de adjuntos únicos y plantillas que imitan procesos oficiales, los atacantes logran un engaño mucho más creíble”, advirtió Gutiérrez Amaya.

Recomendaciones para los usuarios

ESET recomienda a los usuarios en Colombia y la región adoptar medidas preventivas para evitar ser víctimas de este tipo de ataques:

1. Desconfiar de correos electrónicos que incluyan archivos SVG como adjuntos.
2. No abrir archivos comprimidos protegidos con contraseña si no se esperaba recibirlos.
3. Verificar cuidadosamente remitente y contenido de los mensajes.
4. Mantener soluciones de seguridad actualizadas que detecten amenazas avanzadas.

El experto de ESET concluyó: “Ninguna entidad judicial enviará un archivo en formato SVG ni incluirá contraseñas visibles en un documento. Reconocer esas señales puede marcar la diferencia entre caer en la trampa o mantenerse a salvo”.

Comments