كشف باحثون في الأمن السيبراني عن حملة تصيُّد إلكتروني جديدة تستغل ملفات SVG الظاهرية في تنفيذ تحويلات خفية باستخدام شيفرات JavaScript.
وتعتمد الهجمة على ملفات صور تبدو سليمة ظاهرياً، لكنها تخفي شيفرات مشفَّرة تُفعّل تحويلات إلى مواقع ضارة من دون الحاجة إلى تنزيل ملفات أو تفاعل المستخدم.
وبحسب تنبيه تقني صدر اليوم عن شركة «Ontinue»، فإن هذه الحملة تختلف عن أساليب التصيّد التقليدية التي تعتمد على تنزيل ملفات تنفيذية أو مستندات محملة بماكرو، حيث يتم إدراج الشيفرة الخبيثة داخل شيفرة ملف SVG.
وما إن يُفتح الملف عبر المتصفح، حتى تبدأ الشيفرة بفك تشفير الحمولة الثانية باستخدام مفتاح XOR ثابت، قبل أن تُحوّل المستخدم إلى موقع إلكتروني خاضع لسيطرة المهاجمين باستخدام وظيفة window.location.href. وغالباً ما تتضمن عناوين التحويل سلاسل مشفرة بصيغة Base64 لتتبع الضحايا.
وتُرسل رسائل البريد الإلكتروني التي تحتوي على هذه الملفات من عناوين منتحلة أو نطاقات مقلَّدة لعلامات تجارية معروفة، وتستهدف بشكل خاص المجالات التي تفتقر إلى ضوابط التوثيق الإلكتروني، ومنها:
- غياب سجلات DKIM
- سياسات DMARC غير مفعّلة أو غير مطبّقة
- إعدادات SPF غير مضبوطة
وقال جون بامبينيك، رئيس شركة «Bambenek Consulting»، إن «هذه التقنية تشكّل طريقة جديدة لاستخدام ملفات الصور لنقل محتوى ضار، وفي هذه الحالة، مستندات PDF خبيثة»، مضيفاً أن «المهاجمين يعتمدون على مفاهيم خاطئة لدى الضحايا مثل “إنها مجرد صورة، ولا يمكن أن تنفّذ شيفرة”، مما يجعل المؤسسات تتهاون وتسمح بوصول هذه الملفات إلى شبكاتها الداخلية».
أساليب التهرب والبنية التحتية
يلجأ المهاجمون إلى استخدام تقنيات تحديد المواقع الجغرافية في صفحات الهبوط، بالإضافة إلى إنشاء نطاقات مؤقتة وعشوائية لتجاوز تقنيات الرصد الثابت. وغالباً ما يتم استضافة الحمولة على خوادم خارجية أو تضمينها مباشرة في الرسالة، مع الحد الأدنى من المحتوى النصي لتجنّب إثارة الشبهات.
وتختلف هذه الحملة عن التهديدات السابقة التي استخدمت SVG عبر استضافة الحمولة أو خدمات مشاركة الملفات، إذ تنفذ الهجمة هذه المرة بالكامل داخل متصفح المستخدم، متجنّبة إسقاط ملفات تنفيذية، ومستفيدة من وظائف موثوقة ضمن الويب لتفادي أدوات الكشف الطرفي.
وفي هذا السياق، حذر جايسون سوروكو، الباحث الأول في شركة «Sectigo»، قائلاً: «على المدافعين أن يتوقفوا عن الفصل التقليدي بين الشيفرة والمحتوى… يجب التعامل مع كل ملف SVG وارد على أنه ملف قابل للتنفيذ. وينبغي إزالة أو حظر وسوم الشيفرة، وتطبيق ضبط DMARC الصارم، وحذف البريد المشبوه تلقائياً، إلى جانب رصد أي تحويلات غير معتادة تحدث داخل المتصفح بسبب معاينة الصور».
الأهداف والتوصيات
تشير المؤشرات الأولية إلى أن الحملة تستهدف مقدمي الخدمات في قطاع الأعمال ممن يمتلكون صلاحيات للوصول إلى بيانات مالية وموارد بشرية حساسة، وعلى رأسهم:
- منصات البرمجيات كخدمة (SaaS)
- شركات المرافق والخدمات
- مزودو الخدمات المالية
وأكّد بامبينيك أن «هذه النتائج تُعد مفيدة للمؤسسات الكبيرة وفرق الصيد الإلكتروني، لكن الجهات التي لا تملك فرق أمنية متخصصة، أو المستخدمين النهائيين، سيظلون عرضة للجرائم الإلكترونية باستخدام هذه الطريقة».
وأوصت «Ontinue» بالقيام بالتالي للتقليل من خطر هذه الهجمة:
- تفعيل ميزة «الروابط الآمنة» (Safe Links) والمرفقات الآمنة (Safe Attachments)
- فرض سياسات DMARC بشكل كامل
- حظر ملفات SVG كملحقات بريد إلكتروني
- تثقيف المستخدمين بخصوص المرفقات المشبوهة
