اكتشفت شركة VirusTotal حملة تصيد مخفية في ملفات SVG تعمل على إنشاء بوابات مقنعة تنتحل صفة النظام القضائي الكولومبي وتنشر البرامج الضارة.
اكتشفت VirusTotal هذه الحملة بعد أن أضافت دعمًا لـ SVGs إلى منصة AI Code Insight الخاصة بها.
تقوم ميزة AI Code Insight الخاصة بـ VirusTotal بتحليل عينات الملفات التي تم تحميلها باستخدام التعلم الآلي لإنشاء ملخصات للسلوك المشبوه أو الضار الموجود في الملفات.
بعد إضافة الدعم لملفات SVG، عثر VirusTotal على ملف SVG لم يتم اكتشافه على الإطلاق بواسطة عمليات فحص مكافحة الفيروسات، ولكن ميزة Code Insight المدعومة بالذكاء الاصطناعي الخاصة به تم اكتشافها باستخدام JavaScript لعرض HTML، مما أدى إلى انتحال هوية بوابة لنظام القضاء الحكومي في كولومبيا.
يتم استخدام SVG، أو الرسومات المتجهة القابلة للتطوير، لإنشاء صور للخطوط والأشكال والنصوص من خلال الصيغ الرياضية النصية في الملف.
ومع ذلك، بدأت الجهات الفاعلة في مجال التهديد في استخدام ملفات SVG بشكل متزايد في الهجمات، حيث يمكن استخدامها أيضًا لعرض HTML باستخدام عنصر <foreignObject> وتنفيذ JavaScript عند تحميل الرسم.
في الحملة التي اكتشفها Virustotal، يتم استخدام ملفات صور SVG لعرض بوابات مزيفة تعرض شريط تقدم تنزيل مزيفًا، مما يدفع المستخدم في النهاية إلى تنزيل أرشيف مضغوط محمي بكلمة مرور [VirusTotal]. يتم عرض كلمة المرور لهذا الملف في صفحة البوابة المزيفة.
"كما هو موضح في لقطات الشاشة أدناه، يتم عرض البوابة المزيفة تمامًا كما هو موضح، لمحاكاة عملية تنزيل المستندات الحكومية الرسمية"، يوضح VirusTotal.
"يتضمن موقع التصيد الاحتيالي أرقام الحالات ورموز الأمان والإشارات المرئية لبناء الثقة، وكلها مصممة داخل ملف SVG."
إذا فتح المستخدم الملف القابل للتنفيذ، فسيتم تحميل ملف DLL الضار بشكل جانبي لتثبيت المزيد من البرامج الضارة على النظام.
بعد اكتشاف ملف SVG الأولي هذا، حدد VirusTotal 523 ملف SVG تم تحميلها مسبقًا والتي كانت جزءًا من نفس الحملة ولكنها أفلتت من اكتشافها بواسطة برامج الأمان.
كانت إضافة دعم SVG إلى AI Code Insights أمرًا بالغ الأهمية في الكشف عن هذه الحملة بالذات، حيث أشارت VirusTotal إلى أن استخدام الذكاء الاصطناعي يسهل تحديد الحملات الضارة الجديدة.
"هذا هو المكان الذي تساعد فيه Code Insight بشكل أكبر: توفير السياق، وتوفير الوقت، والمساعدة في التركيز على ما يهم حقًا. ويختتم VirusTotal قائلاً: "إنه ليس سحرًا، ولن يحل محل تحليل الخبراء، ولكنه أداة أخرى لاختراق الضوضاء والوصول إلى هذه النقطة بشكل أسرع".
