استفاده مهاجمان از ده‌ها فایل SVG ناشناخته در جریان حملات فیشینگ

اخیراً، پژوهشگران امنیت سایبری یک کمپین بدافزاری تازه را شناسایی کرده‌اند که از فایل‌های SVG یا همان Scalable Vector Graphics به‌عنوان بستری برای اجرای حملات فیشینگ استفاده می‌کند. بر اساس گزارشی که سایت VirusTotal آن را منتشر کرده این حملات با استفاده از روش‌های پیچیده برای دورزدن آنتی‌ویروس‌ها انجام شده است.

ماجرا از کجا شروع شد؟

به گفته VirusTotal، این فایل‌های SVG از طریق ایمیل توزیع می‌شوند. درون این فایل‌ها یک کد JavaScript مخرب قرار دارد که پس از اجرا، یک صفحه HTML فیشینگ رمزگذاری‌شده با Base64 را بارگذاری می‌کند.

صفحه جعلی مذکور، فرآیند دانلود یک سند دولتی را شبیه‌سازی می‌کند. در حالی‌که کاربر تصور می‌کند در حال دریافت فایل معتبر است، یک فایل ZIP به‌طور پنهانی در پس‌زمینه دانلود می‌شود. ماهیت این فایل هنوز فاش نشده است.

آمار و جزئیات کشف‌شده

  • شناسایی ۴۴ فایل SVG یکتا که هیچ‌کدام توسط آنتی‌ویروس‌ها شناسایی نشده‌اند.
  • استفاده از تکنیک‌هایی مانند مبهم‌سازی (Obfuscation)، چندریختی (Polymorphism) و درج حجم بالای کد زائد برای گریز از تشخیص.
  • کشف در مجموع ۵۲۳ فایل SVG آلوده در فضای واقعی.
  • قدیمی‌ترین نمونه به تاریخ 23 مرداد سال جاری بازمی‌گردد.

VirusTotal در گزارش خود تأکید کرده است که نسخه‌های اولیه فایل‌ها حجمی حدود ۲۵ مگابایت داشتند اما به مرور کوچکتر شدند؛ این روند نشان‌دهنده تکامل و بهینه‌سازی Payload توسط مهاجمان است.

AMOS؛ تهدیدی جدی برای کاربران macOS

افشای این کمپین هم‌زمان با افزایش حملات بدافزاری به سیستم‌عامل macOS صورت گرفته است. مهاجمان با سوءاستفاده از نرم‌افزارهای کرک‌شده و روش‌هایی نظیر ClickFix، کاربران را به دانلود و اجرای بدافزار Atomic macOS Stealer -AMOS ترغیب می‌کنند.

AMOS چه اطلاعاتی را سرقت می‌کند؟

طبق گزارش شرکت ترند ماکرو (Trend Micro)، این بدافزار قادر است موارد زیر را سرقت کند:

  • اطلاعات ورود (Credentials)
  • داده‌های مرورگر
  • کیف‌پول‌های رمزارزی
  • چت‌های تلگرام
  • پروفایل‌های VPN
  • آیتم‌های Keychain و یادداشت‌های اپل
  • فایل‌های موجود در پوشه‌های پرکاربرد

این موضوع نشان می‌دهد که macOS دیگر یک هدف حاشیه‌ای نیست و با رشد استفاده در محیط‌های سازمانی، به عرصه‌ای جذاب برای حملات سایبری تبدیل شده است.

نقش Gatekeeper در macOS Sequoia

شرکت اپل (Apple) با انتشار نسخه macOS Sequoia قابلیت Gatekeeper را تقویت کرده است. این ویژگی مانع نصب فایل‌های dmg بدون امضای معتبر و تایید رسمی (Notarization) می‌شود. اما مهاجمان با روش ClickFix به‌راحتی این سد امنیتی را دور می‌زنند؛ چرا که نصب بدافزار از طریق دستور curl در Terminal انجام می‌شود. همین موضوع بار دیگر اهمیت استراتژی‌های دفاع چندلایه (Defense-in-Depth) را نشان می‌دهد.

کمپین‌های موازی علیه گیمرها

هم‌زمان با این تحولات، محققان شرکت سایبرآرک (CyberArk)، از یک “کمپین گسترده سایبری” علیه گیمرها خبر داده‌اند. در این حملات از بدافزار StealC برای سرقت اطلاعات و رمزارز استفاده شده است.

این بدافزار به کمک قابلیت Loader خود، کدهای Payload بیشتری از جمله یک سرقت‌کننده رمزارز دانلود می‌کند و تاکنون بیش از ۱۳۵ هزار دلار دارایی دیجیتال کاربران آلوده را به جیب مهاجمان واریز کرده است.

جمع‌بندی

یافته‌های اخیر VirusTotal نشان می‌دهد که مهاجمان سایبری به‌طور مداوم در حال نوآوری و تغییر روش‌های خود هستند؛ از فایل‌های SVG آلوده گرفته تا نصب بدافزار روی macOS و سرقت دارایی‌های دیجیتال گیمرها. این حملات ثابت می‌کنند که هیچ سیستم‌عاملی مصون نیست و کاربران باید علاوه بر اتکا به ابزارهای امنیتی داخلی، از راهکارهای چندلایه برای حفاظت از داده‌های خود استفاده کنند.

درباره VirusTotal

VirusTotal، یک سرویس آنلاین رایگان در حوزه امنیت سایبری است که امکان تحلیل و شناسایی بدافزارها را فراهم می‌کند. این پلتفرم توسط بیش از ۷۰ موتور آنتی‌ویروس و ابزارهای امنیتی معتبر پشتیبانی می‌شود و کاربران می‌توانند فایل‌ها، آدرس‌های وب، آی‌پی‌ها و دامنه‌ها را برای بررسی به آن ارسال کنند.

اطلاعات بیشتر

مشروح گزارش VirusTotal در لینک زیر قابل‌مطالعه است:

https://blog.virustotal.com/2025/09/uncovering-colombian-malware-campaign.html

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *