كشف باحثون في الأمن السيبراني عن حملة برمجيات خبيثة جديدة استخدمت ملفات Scalable Vector Graphics (SVG) كجزء من هجوم تصيّد انتحل هوية النظام القضائي في كولومبيا.
ووفقاً لتقرير VirusTotal، يتم توزيع هذه الملفات عبر البريد الإلكتروني، حيث صُممت لتشغيل شيفرة JavaScript خفية تقوم بفك ترميز صفحة تصيّد مشفّرة بصيغة Base64. وتظهر هذه الصفحة كواجهة وهمية لبوابة النيابة العامة في كولومبيا Fiscalía General de la Nación، لتقنع المستخدمين بأنها منصة رسمية.
آلية الهجوم عبر ملفات SVG
الموقع الاحتيالي يحاكي عملية تحميل وثيقة حكومية رسمية عبر شريط تقدم مزيف، بينما يقوم سراً بتنزيل ملف مضغوط ZIP في الخلفية، من دون أن يتم الكشف عن طبيعته الحقيقية.
وقالت خدمة فحص البرمجيات الخبيثة التابعة لـ Google إنها رصدت 44 ملف SVG فريد ظل جميعها بعيداً عن أنظار محركات مكافحة الفيروسات، بفضل تقنيات مثل التشفير، التعددية الشكلية، وإغراق الأكواد الزائدة التي تعيق أساليب الكشف التقليدية. وقد عُثر في المجموع على ما يصل إلى 523 ملف SVG في البرية، تعود أقدمها إلى 14 أغسطس 2025.
تطور الهجمات وتغير أساليب المهاجمين
أوضحت VirusTotal أن العينات الأولى كانت كبيرة الحجم تصل إلى 25 ميغابايت، لكنها أخذت في التقلص مع مرور الوقت، ما يشير إلى تطور حمولة البرمجيات الخبيثة وتحسينها من قبل المهاجمين.
ويأتي هذا الكشف في وقت تتزايد فيه الهجمات التي تستغل إصدارات مكسورة من البرامج الشرعية، إضافة إلى تكتيكات ClickFix التي تستهدف مستخدمي أجهزة macOS عبر نشر برمجية خبيثة تُعرف باسم Atomic macOS Stealer (AMOS)، والتي تهدد الشركات بسرقة بيانات الاعتماد، الأموال، وغيرها من الهجمات اللاحقة.
تهديد متنامٍ لمستخدمي macOS
تؤكد شركة Trend Micro أن برمجية AMOS مصممة لسرقة نطاق واسع من البيانات، تشمل كلمات المرور، بيانات المتصفح، محافظ العملات الرقمية، محادثات تيليغرام، ملفات الشبكات الافتراضية VPN، مفاتيح سلسلة النظام Keychain، الملاحظات المخزنة على Apple Notes، إضافة إلى ملفات من مجلدات شائعة الاستخدام.
وتشير الشركة إلى أن macOS لم يعد هدفاً هامشياً، إذ أصبح أكثر انتشاراً في بيئات الأعمال، ما جعله هدفاً أكثر إغراءً وربحية للمهاجمين. وتتمثل سلسلة الهجوم في استهداف الباحثين عن نسخ مكسورة من البرامج عبر مواقع مثل haxmac[.]cc، حيث يُعاد توجيههم إلى روابط تنزيل مزيفة تقدّم تعليمات خادعة لإقناعهم بتشغيل أوامر ضارة في تطبيق Terminal، مما يؤدي إلى نشر برمجية AMOS.
دفاعات macOS وتحوّل المهاجمين
ورغم أن نظام macOS يمنع تثبيت ملفات .dmg غير الموقّعة أو غير الموثقة بفضل آلية Gatekeeper، فإن المهاجمين لجأوا إلى أساليب بديلة مثل ClickFix، التي تعتمد على أوامر curl مدمجة في صفحات التنزيل، ما يمكّنهم من تخطي الدفاعات الافتراضية للنظام.
وقالت Trend Micro إن هذا التحول يؤكد أن تعزيز الحماية يتطلب استراتيجية دفاع متعددة المستويات لا تكتفي بالاعتماد على الضوابط المدمجة في أنظمة التشغيل.
ويأتي هذا التطور بالتوازي مع كشف حملة سيبرانية واسعة استهدفت اللاعبين الباحثين عن أدوات غش، عبر برمجيات سرقة مثل StealC وبرمجيات لسرقة العملات الرقمية، وقد حقق المهاجمون من خلالها أكثر من 135 ألف دولار.
