فایلهای Scalable Vector Graphics (SVG) همون عکسهای سبک و کمحجم هستن که بر پایهی XML ساخته میشن و میتونن تو هر رزولوشنی بدون افت کیفیت نمایش داده بشن. در حالت عادی، این فایلها خطری ندارن؛ ولی نکته اینجاست که SVG میتونه شامل کد فعال هم باشه و همین قابلیت، دست هکرها رو برای سوءاستفاده باز گذاشته. طبق گزارش جدید VirusTotal، هکرها دارن روزبهروز بیشتر از فایلهای SVG برای پخش بدافزار، جعل هویت سازمانهای دولتی و حتی دور زدن آنتیویروسها استفاده میکنن. با بنچفا تا پایان این خبر همراه باشید.
کمپین فیشینگ با ۴۴ فایل SVG ناشناخته
ویروستوتال تو گزارش ۴ سپتامبر خودش گفته سیستم Code Insight یه فایل SVG مشکوک رو شناسایی کرده که خودش رو به شکل یه اعلان قضایی از طرف سیستم قضایی کلمبیا جا زده بود. وقتی فایل باز میشد، یه پورتال اینترنتی واقعینما میساخت، همراه با نوار پیشرفت و دکمه دانلود. کاربر روی دکمه کلیک میکرد و یه فایل ZIP آلوده میگرفت که توش مرورگر Comodo Dragon (امضا شده) و یه فایل مخرب DLL قرار داشت. اگه کاربر فایل .exe رو اجرا میکرد، DLL هم بهصورت مخفی لود میشد و بدافزارهای بیشتری روی سیستم نصب میکرد.
دلیل این حمله اینه که SVG میتونه تو خودش HTML و JavaScript جاسازی کنه؛ یعنی عملاً مثل یه صفحه وب کوچیک عمل کنه. ویروستوتال تو بررسیهای بعدی متوجه شد که ۵۲۳ فایل SVG مربوط به همین کمپین بودن که ۴۴ تاشون اصلاً توسط هیچ آنتیویروسی شناسایی نشده بودن! تازه، کد این فایلها پر از Obfuscation (مبهمسازی کد) و کلی کد الکی بود تا تشخیص توسط سیستمهای امنیتی سختتر بشه.
این فقط یه مورد نیست
ماجرا به همینجا ختم نمیشه. اوایل امسال تیم IBM X-Force چندین حمله فیشینگ با فایل SVG علیه بانکها و شرکتهای بیمه گزارش داد. از اون طرف تیم امنیتی Cloudflare هم رشد شدیدی از حملات SVG دیدن که یا ریدایرکت میکردن یا اطلاعات ورود و کوکیهای کاربر رو کامل میدزدیدن.
شرکتهای امنیتی مثل Sophos هم مجبور شدن قوانین جدید برای شناسایی این نوع حملات بذارن، چون بعضی از این فایلها راحت از فیلترها رد میشدن.
واکنش مایکروسافت
مایکروسافت هم دستبهکار شده و اعلام کرده که پشتیبانی از نمایش inline فایلهای SVG تو Outlook تحت وب و نسخه جدید Outlook ویندوز رو متوقف میکنه. یعنی دیگه فایل SVG توی متن ایمیل نشون داده نمیشه و فقط جای خالی میبینین. اینطوری یکی از راههای مهم برای نفوذ هکرها بسته میشه. احتمالا به زودی ویندوز دیفندر هم بتونه با دقت بالاتری SVGهای آلوده رو تشخیص بده. تا اون زمان حواستون حسابی جمع باشه که چه فایلی رو از کجا ذخیره میکنید!
