لاحظ باحثو Cofense Intelligence مؤخرا حملة مدتها شهرين استخدمت ملفات SVG لتوصيل البرامج الضارة Agent Tesla Keylogger وXWorm RAT. ينصح الباحثون فرق الأمان بتذكير المستخدمين بمراقبة التنزيلات غير المتوقعة عند فتح ملف SVG، وهي علامة واضحة على حدوث اختراق.

يستخدم تنسيق ملف Scalable Vector Graphic معادلات رياضية لوصف الصور، مما يتيح إمكانية تغيير حجمها دون فقدان جودة الصورة ويجعلها مناسبة لتطبيقات التصميم المتنوعة.

تتيح أداة AutoSmuggle، وهي أداة مفتوحة المصدر تم إصدارها في مايو 2022، للجهات الفاعلة في مجال التهديد تضمين ملفات ضارة داخل محتوى SVG أو HTML، وتجاوز التدابير الأمنية مثل بوابات البريد الإلكتروني الآمنة وزيادة فرص تسليم البرامج الضارة بنجاح.

تمت ملاحظة استخدام ملفات SVG لتوصيل البرامج الضارة لأول مرة في عام 2015، لكن الباحثين قالوا إن المتسللين قاموا بتحسين أساليبهم لتجاوز الإجراءات الأمنية وتوزيع الحمولات الضارة بنجاح. قامت ملفات SVG بتوزيع برنامج Ursnif الضار في عام 2017 وتم استخدامه لتهريب .zipالأرشيفات التي تحتوي على برنامج QakBot الضار 2022.

في حملات Agent Tesla Keylogger في ديسمبر 2023 ويناير 2024، احتوت رسائل البريد الإلكتروني على ملفات SVG مرفقة، والتي عند فتحها، سلمت .zip أرشيفات مضمنة. بدأت هذه المحفوظات سلسلة من تنزيلات الحمولة، وبلغت ذروتها في تنفيذ العميل Tesla Keylogger. قامت الجهات الفاعلة في مجال التهديد بتعديل ملفات SVG التي تم إنشاؤها بواسطة AutoSmuggle لتعزيز قدراتها الخادعة.

تميزت حملات XWorm RAT بسلاسل عدوى مختلفة. استخدم البعض الروابط المضمنة التي تؤدي إلى ملفات SVG، بينما استخدم البعض الآخر ملفات SVG المرفقة مباشرة.

بدأت هذه الملفات في تنزيل .zipالأرشيفات التي تحتوي على حمولات لتنفيذ XWorm RAT. افتقرت ملفات SVG المستخدمة في هذه الحملات إلى التعقيد الذي لوحظ في حملات Agent Tesla Keylogger وظهرت صفحات فارغة عند فتحها.

يوصي الباحثون باستراتيجيات تخفيف قوية ضد تهديدات البرامج الضارة المستندة إلى SVG. الدفاعات التقليدية التي تعتمد على امتدادات الملفات غير كافية في مواجهة تكتيكات البرامج الضارة المتطورة.

المصدر: The Hacker News