المخترقون يستخدمون الصور للتحكم بحسابات فيسبوك لضحاياهم
⬤ أظهرت حملة برمجيات خبيثة جديدة استغلال الصور بصيغة SVG في اختراق المستخدمين.
⬤ يكفي فتح الصور لتعرض المستخدم للاختراق ووصول المخترقين إلى حسابه على فيسبوك.
⬤ على عكس الصور العادية، تتضمن صور SVG إمكانية تضمين كود برمجي قابل للتنفيذ داخلها.
مع تزايد المواقع التي تفرض فحوصات التحقق من العمر، بدأ العديد من المستخدمين بالانتقال إلى مواقع أصغر وأقل تنظيماً، مما يزيد من خطر تعرضهم للبرمجيات الخبيثة دون قصد. ويبدو أن مجرمي الإنترنت يستغلون هذا الاتجاه عبر إخفاء أكواد ضارة في مكان غير متوقع الصور بصيغة SVG، القادرة على تنفيذ إجراءات مؤذية على أجهزة المستخدمين.
بدأت العديد من الدول مؤخراً بفرض إجراءات التحقق من العمر للوصول إلى بعض أجزاء الإنترنت التي قد لا تكون مناسبة للأطفال واليافعين. ودفع هذا التوجه الكثيرين ممن لا يريدون التقيد بهذه الإجراءات إلى أماكن أقل تنظيماً على الإنترنت، وهو ما استغله المحتالون والمخترقون عبر «الرسوميات المتجهية القابلة للتوسع»، أو صيغة SVG باختصار.
تختلف ملفات SVG عن صيغ الصور القياسية مثل JPG وPNG، فهي ليست مجرد بكسلات وألوان فقط، بل تستخدم لغة XML التي يمكنها أيضاً تضمين أكواد HTML وJavaScript، وهي نفس اللغات المستخدمة في إنشاء المواقع التفاعلية. وبفضل هذه الخاصية، يمكن للمهاجمين إخفاء البرمجيات الخبيثة داخل صور تبدو بريئة ولا تثير الشك كون المستخدمين يرونها على أنها مجرد صور فحسب.
تعمل آلية الاحتيال كالتالي: يتم نشر مقالات مدونات ذات محتوى للبالغين (غالباً ما تروّج لمحتوى مزيف أو مولد بالذكاء الاصطناعي لشخصيات مشهورة) على منصات مثل فيسبوك. وعند نقر المستخدمين على هذه الروابط، قد يُطلب منهم تنزيل صورة SVG. وعند فتح الصورة أو التفاعل معها، يتم تفعيل كود JavaScript مخفي داخل الملف. وقد وجد الباحثون أن هذا الكود الضار مُموّه باستخدام تقنيات خاصة، بحيث يتم إخفاء غرضه الحقيقي بالاعتماد على عدد قليل من الرموز وحيل برمجية ذكية لتجنب الاكتشاف.
بمجرد تفعيل الكود، يقوم البرنامج النصي الخفي بتحميل أكواد ضارة إضافية من مواقع مرتبطة، مما يؤدي إلى تثبيت برمجية خبيثة تُعرف باسم Trojan.JS.Likejack، التي تجبر متصفح المستخدم سراً على «الإعجاب» بمنشورات أو صفحات محددة على فيسبوك. وتساعد هذه الإعجابات التلقائية في الترويج للمحتوى الخاص بالبالغين دون علم المستخدم، ولكن فقط إذا كان الضحية مسجلاً الدخول بالفعل إلى فيسبوك.
اكتشفت شركة الأمن السيبراني، Malwarebytes، أن العديد من الصفحات المشاركة في هذه الحملة مبنية على منصة WordPress (المنصة الأشهر لمواقع النشر) ومرتبطة ببعضها البعض. ومن خلال توليد مئات «الإعجابات» المزيفة، تحصل هذه المنشورات على مزيد من الظهور في خوارزمية فيسبوك، مما يساعد المحتالين على الترويج لمواقعهم دون دفع مقابل إعلانات.
على الرغم من أن فيسبوك يحاول بنشاط إغلاق هذه الحسابات المزيفة، فإن المحتالين ينشئون باستمرار حسابات جديدة. كما أن الطبيعة المجهولة للإنترنت تجعل من الصعب وقف هذه الدورة تماماً.
يذكر أن استخدام ملفات SVG لنشر البرمجيات الخبيثة ليس أمراً جديداً، إذ سبق للمهاجمين استغلالها في التصيد الاحتيالي والهجمات البرمجية وغيرها. وما يميز هذا المخطط الأخير هو الأسلوب المبتكر في إخفاء الأكواد الضارة والتلاعب بمنصات التواصل الاجتماعي لزيادة الزيارات والظهور.
