روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  هر سال که می‌گذرد، حملات فیشینگ بیشتر و بیشتر تکنیک‌های پیچیده‌ای دست و پا می‌کنند تا کاربران را فریب دهند و اقدامات امنیتی را دور بزنند. مهاجمین از تاکتیک‌های فریبنده ریدایرکت یوآرال مانند افزودن آدرس‌های مخرب وبسایت به لینک‌هایی که ظاهراً امن هستند، جاگذاری لینک‌ها در پی‌دی‌اف‌ها و ارسال پیوست‌های HTML که یا میزبان کل سایت فیشینگ هستند و یا برای لانچ آن از جاوااسکریپت استفاده می‌کنند. همین اواخر متوجه ترند جدیدی شدیم که در آن، مهاجمین در حال توزیع پیوست‌هایی به فرمت SVG هستند؛ فرمتی که به صورت نرمال برای ذخیره عکس استفاده می‌شود.

فرمت SVG

SVG  مخفنگاره‌سازی برداری مقیاس‌پذیر[1]یک فرمت برای توصیف گرافیک برداری دوبُعدی با استفاده از زبان XML است. زمانی که یک فایل SVG را در نرم‌افزار مشاهده تصویر باز می‌کنید، تصویر نهایی نمایش داده می‌شود؛ اما اگر آن را در ویرایشگر متنی باز کنید، کدهای XML مربوط به توصیف تصویر را خواهید دید. این ساختار کدنویسی باعث می‌شود بتوان پارامترهای تصویر را به‌راحتی ویرایش کرد، بدون نیاز به نرم‌افزارهای سنگین طراحی گرافیک. از آنجا که SVG مبتنی بر XML است، برخلاف فرمت‌هایی مانند JPEG یا PNG، از جاوااسکریپت و HTML نیز پشتیبانی می‌کند. این ویژگی کار طراحان را برای افزودن محتوای غیرگرافیکی مانند متن، فرمول یا عناصر تعاملی ساده‌تر می‌سازد. با این حال، مهاجمان از همین قابلیت سوءاستفاده کرده و اسکریپت‌هایی حاوی لینک به صفحات فیشینگ را درون فایل‌های SVG قرار می‌دهند.

کمپین‌های ایمیل فیشینگ با بهره‌گیری از فایل‌های  SVG
در آغاز سال ۲۰۲۵، شاهد کمپین‌هایی از ایمیل‌های فیشینگ بودیم که در ظاهر شباهت زیادی به حملاتی با فایل‌های HTML داشتند، اما این‌بار از فایل‌های SVG استفاده می‌کردند. بررسی کد منبع این ایمیل‌ها نشان می‌دهد که پیوست به‌عنوان یک تصویر شناسایی می‌شود؛ با این حال، باز کردن آن در ویرایشگر متنی نشان می‌دهد که در واقع با یک صفحه HTML مواجه هستیم که هیچ اشاره‌ای به گرافیک برداری در آن نشده است. این فایل در مرورگر به شکل یک صفحه HTML ظاهر می‌شود که لینکی به ظاهر مرتبط با یک فایل صوتی در آن قرار دارد.

کلیک روی این لینک، کاربر را به یک صفحه فیشینگ هدایت می‌کند که در قالب سرویس Google Voice طراحی شده است. در بالای این صفحه، تصویری ثابت به‌عنوان فایل صوتی نمایش داده می‌شود. با کلیک روی گزینه "پخش صدا" ، کاربر به صفحه‌ای جعلی برای ورود به ایمیل شرکتی منتقل می‌شود و اطلاعات کاربری‌اش در اختیار مهاجمان قرار می‌گیرد. این صفحه نیز همچنان نام Google Voice را یدک می‌کشد و برای جلب اعتماد بیشتر، لوگوی شرکت هدف را نیز در خود جای داده است.

در نمونه‌ای دیگر، مهاجمین با جعل یک اعلان از سوی سرویس امضای الکترونیکی، فایل SVG پیوست‌شده‌ای را به‌عنوان سندی که نیاز به بازبینی و امضا دارد، ارائه کردند. برخلاف نمونه قبلی که فایلSVG نقش یک صفحه HTML را ایفا می‌کرد، در این مورد، فایل حاوی کد JavaScript بود که بلافاصله پس از باز شدن، یک پنجره مرورگر را اجرا می‌کرد و کاربر را به یک سایت فیشینگ هدایت می‌نمود. این سایت شامل فرم ورود جعلی مایکروسافت بود که هدف آن سرقت اطلاعات ورود کاربران بود.

آمار

داده‌های تله‌متری ما نشان‌دهنده افزایش قابل توجهی در کمپین‌های SVG در ماه مارس ۲۰۲۵ است. ما تنها در سه‌ماهه اول سال ۲۸۲۵ ایمیل با پیوست‌های SVG شناسایی کردیم. در ماه آوریل، روند افزایشی ادامه یافت؛ در نیمه اول ماه، ۱۳۲۴ ایمیل با پیوست‌های SVG شناسایی شد که بیش از دو سوم آمار ماه مارس بود.

نکات کلیدی

فیشرها بی‌وقفه در حال کشف و بررسی تکنیک‌های جدیدِ دور زدن شناسایی‌اند. آن‌ها تاکتیک‌های خود را تغییر می‌دهند؛ گاهی از ریدایرکت کاربر و مبهم‌سازی متن استفاده نموده و گاهی فرمت‌های پیوست مختلف را آزمایش می‌کنند. فرمت SVG قابلیت جاگذاری HTML و کد جاوااسکریپت را داخل تصاویر می‌دهد که خوب مهاجمین دقیقاً از همین قابلیت دارند سوءاستفاده می‌کنند. باوجود اینکه جملات پیوست SVG در زمان این تحقیق آنقدرها شیوع پیدا نکرده اما سیر صعودی‌ای برای پیش‌بینی شده است. این حملات –هرچند در حال حاضر بدوی‌اند- تا حد زیادی مانند سناریوهای پیوست HTML شامل فایل‌های SVG حاوی یا پیج لینک فیشینگ و یا یک اسکریپت ریداریکت به سایت جعلی هستند. با این حال، استفاده از SVG به عنوان کانتینتری برای محتواهای مخرب همچنین می‌تواند در حملات هدف‌دار پیچیده‌تری نیز مورد استفاده قرار گیرد.

[1] Scalable Vector Graphics

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.