مع قيام المزيد والمزيد من مواقع الويب بتنفيذ التحقق من العمر، ينتقل العديد من المستخدمين إلى مواقع أصغر حجمًا وأقل تنظيمًا - مما يزيد عن غير قصد من خطر مواجهة البرامج الضارة. يستغل مجرمو الإنترنت هذا الاتجاه عن طريق إخفاء التعليمات البرمجية الضارة في ملفات صور SVG التي يمكن أن تؤدي إلى تنفيذ إجراءات ضارة على أجهزة كمبيوتر المستخدمين.
نظرًا لأن المزيد من البلدان تتطلب التحقق من العمر لمواقع الويب الخاصة بالبالغين، فقد بدأت بعض المواقع الصغيرة في استغلال البرامج الضارة المخفية لتعزيز ظهورها على منصات الوسائط الاجتماعية مثل Facebook. اكتشف الباحثون في Malwarebytes مؤخرًا أن هذه البرامج الضارة غالبًا ما تستخدم نوعًا من ملفات الصور يسمى رسومات المتجهات القابلة للتطوير (SVG)، والتي يمكن أن تحمل تعليمات برمجية ضارة.
تختلف ملفات SVG عن تنسيقات الصور القياسية مثل JPG وPNG. إنهم يستخدمون XML، وهو شكل من أشكال التعليمات البرمجية التي لا يمكنها عرض الصور فحسب، بل تتضمن أيضًا HTML وJavaScript، وهي اللغات المستخدمة أيضًا لإنشاء مواقع ويب ديناميكية. تسمح هذه الميزة للمهاجمين بإخفاء البرامج الضارة داخل صور SVG. نظرًا لأن العديد من المستخدمين يعتقدون أن ملفات SVG هي مجرد صور غير ضارة، فإنهم لا يعتقدون أن هذه الملفات يمكن أن تحتوي على تهديدات أمنية.
وإليك كيفية عمل عملية الاحتيال: تتم مشاركة منشورات المدونات ذات الموضوعات الخاصة بالبالغين على فيسبوك، وغالبًا ما تروج لمحتوى المشاهير المزيف أو الناتج عن الذكاء الاصطناعي. عندما ينقر المستخدمون على هذه الروابط، قد يُطلب منهم تنزيل صورة SVG. يؤدي فتح هذه الصورة أو التفاعل معها إلى تشغيل كود JavaScript مخفي مضمن في ملف SVG. ووجد الباحثون أن الشيفرة الخبيثة يتم حجبها باستخدام تقنية خاصة تتطلب بضعة أحرف فقط وحيل ترميز ذكية لإخفاء غرضها الحقيقي، وبالتالي تجنب اكتشافها.
بمجرد تشغيله، يقوم البرنامج النصي المخفي بتنزيل تعليمات برمجية ضارة إضافية من موقع الويب ذي الصلة. يؤدي هذا إلى تثبيت برنامج ضار يسمى Trojan.JS.Likejack، والذي يجبر متصفح المستخدم سرًا على "الإعجاب" بمنشور أو صفحة معينة على Facebook. تساعد هذه الإعجابات التلقائية في الترويج لمحتوى للبالغين دون علم المستخدم، ولكن فقط إذا قام الضحية بتسجيل الدخول إلى فيسبوك.
تعتمد ملفات SVG على XML ويمكن أن تحتوي على HTML وJavaScript، والتي يمكن للمجرمين استغلالها لأغراض ضارة.
اكتشفت Malwarebytes أن العديد من الصفحات المشاركة في هذه الحملة مبنية على WordPress وكانت مرتبطة ببعضها البعض. ومن خلال توليد المئات من "الإعجابات" المزيفة، تكتسب هذه المنشورات ظهورًا أعلى في خوارزمية فيسبوك، مما يساعد المحتالين على الترويج لمواقعهم دون الحاجة إلى الدفع مقابل الإعلانات.
على الرغم من أن فيسبوك يحاول جاهداً إغلاق هذه الحسابات المزيفة، إلا أن المحتالين يواصلون إنشاء حسابات جديدة. إن عدم الكشف عن هويته على الإنترنت يجعل من الصعب إيقاف هذه الدورة تمامًا.
بمجرد أن علمت Malwarebytes بالمخطط، اكتشفوا أن العديد من صفحات Blogspot[.]com كانت جزءًا منه.
إن استخدام ملفات SVG لنشر البرامج الضارة ليس بالأمر الجديد. وقد استخدمها المهاجمون سابقًا للتصيد الاحتيالي والبرمجة النصية وهجمات القرصنة الأخرى. يعد هذا الهجوم الأخير ملحوظًا لأنه يخفي بذكاء التعليمات البرمجية الضارة ويتلاعب بمنصات الوسائط الاجتماعية لزيادة حركة المرور والرؤية.