Negli ultimi mesi, il panorama della sicurezza informatica è stato scosso da una nuova sofisticata campagna di malware che ha sfruttato file SVG (Scalable Vector Graphics) come vettore per attacchi phishing. Secondo quanto scoperto dagli analisti di VirusTotal, questi file SVG venivano distribuiti tramite email e risultavano particolarmente insidiosi in quanto riuscivano a eludere i controlli degli antivirus grazie a tecniche di offuscamento e polimorfismo.

Il meccanismo di infezione

Il meccanismo di infezione inizia con l’invio di email che impersonano la Fiscalía General de la Nación, ovvero l’ufficio del procuratore generale colombiano. Gli allegati SVG contengono codice JavaScript offuscato che, una volta aperto, decodifica una pagina HTML codificata in Base64. Questa pagina si presenta come un portale governativo ufficiale, simulando il download di un documento con una barra di avanzamento finta, mentre in sottofondo viene avviato il download di un archivio ZIP malevolo.

VirusTotal ha rilevato 44 file SVG unici, tutti inosservati dalle principali soluzioni antivirus. Complessivamente, dal 14 agosto 2025, sono stati individuati ben 523 file SVG malevoli circolanti in rete. Un dettaglio interessante è che i primi campioni avevano una dimensione di circa 25 MB, ridotta nel tempo dagli attaccanti per ottimizzare i payload e aumentare le possibilità di successo.

La minaccia di Atomic macOS Stealer

Parallelamente a questa minaccia, si è osservato un aumento della diffusione di Atomic macOS Stealer (AMOS), stealer che prende di mira utenti macOS, soprattutto tramite versioni crackate di software e tattiche ClickFix. Gli utenti vengono indotti a scaricare file dannosi o a eseguire comandi nel Terminale, eludendo così le protezioni offerte da Gatekeeper e dalle firme notarizzate di macOS. Con l’introduzione di macOS Sequoia, Apple ha rafforzato le difese bloccando per impostazione predefinita l’installazione di file .dmg non firmati o non notarizzati, ma gli attori malevoli hanno rapidamente adottato nuove strategie, sfruttando comandi terminali e download via curl, aggirando così i controlli di sicurezza tradizionali.

Importanza di un approccio difensivo multilivello

Queste campagne sottolineano l’importanza di un approccio difensivo multilivello che non si basi esclusivamente sulle protezioni integrate nei sistemi operativi. Le aziende e gli utenti devono rimanere costantemente aggiornati sulle nuove tecniche di attacco, adottando soluzioni proattive di threat intelligence e sensibilizzando il personale sui rischi derivanti da email sospette, software crackati e link ingannevoli. Solo così è possibile mitigare efficacemente il rischio crescente di furto di credenziali, dati sensibili e criptovalute attraverso campagne phishing sempre più evolute.