الماخذ الرئيسية
- ملفات SVG ليست بيانات صور ثنائية مثل JPEG أو PNG. فهي تستند إلى لغة XML ويمكن أن تحتوي على نصوص برمجية قابلة للتنفيذ يقوم المتصفح بتشغيلها فور فتح الملف.
- ارتفع عدد مرفقات SVG الخبيثة خمسين ضعفًا في عام 2025 مقارنةً بعام 2024، وتحتل الآن المرتبة الثالثة بين أكثر أنواع مرفقات البريد الإلكتروني الخبيثة انتشارًا على مستوى العالم، وفقًا لتقرير «اتجاهات التصيد الاحتيالي لعام 2026» الصادر عن Hoxhunt.
- يتم تخصيص كل حمولة SVG وفقًا لعنوان البريد الإلكتروني للمستلم. ويتم تقسيم وجهة إعادة التوجيه وتشفيرها عبر متغيرات متعددة، ولا يتم تجميعها إلا في وقت التشغيل، بحيث تظهر كحروف غير مفهومة لأي أداة مسح تقرأ الملف بشكل ثابت.
- يعتمد الكشف التقليدي على التعرف على أنماط الهجمات المعروفة، سواء من خلال التوقيعات أو الأساليب الاستدلالية.
- تعمل تقنية Deep CDR™ على إزالة المحتوى النشط من ملفات الصور المدعومة قبل وصولها إلى المستخدم، بغض النظر عما إذا كان التهديد قد شوهد من قبل أم لا. ولا تتطلب هذه التقنية أي توقيع أو تعرض مسبق.
لا يوجد ماكرو. ولا ملف قابل للتنفيذ. مجرد صورة قادرة على تنفيذ البرنامج النصي.
في 2 يونيو 2026، نشر زافيير ميرتنز، أحد المسؤولين في مركز SANS Internet Storm Center، تحليلاً لحملة تصيد احتيالي جديدة كانت تصل إلى صندوق بريده الإلكتروني منذ عدة أيام. وكان المرفق في كل رسالة بريد إلكتروني عبارة عن ملف SVG، وهو نوع الملفات الذي يربطه معظم الناس بالأيقونات والرسوم التوضيحية ورسومات الويب. ولم يكن في الأمر ما يشير إلى وجود أي تهديد.
أدى النقر المزدوج عليه إلى فتح المتصفح الافتراضي، وتشغيل البرنامج النصي المضمن بصمت، ثم إعادة توجيه المتصفح إلى صفحة لسرقة بيانات الاعتماد، تم تخصيصها وفقًا لعنوان البريد الإلكتروني للمستلم. ولم تكن هناك أي إشارة إلى حدوث أي شيء حتى فات الأوان.
لم يتطلب الهجوم أي برامج خاصة، ولا مستندات تدعم الماكرو، ولا أي إذن من المستخدم سوى رد الفعل التلقائي لفتح المرفق. وقد اعتمدت الآلية برمتها على افتراض شائع، وهو أن ملف الصورة يمثل بطبيعته خطرًا ضئيلًا.
تُعرض صور JPEG. بينما تُنفَّذ ملفات SVG. وهذا الفرق هو نقطة الضعف.
هذا الافتراض مفهوم. يتم عرض ملفات JPEG و PNG كبيانات بكسل، مما يحد من نطاق التعرض للهجمات على مستوى الملف.
تختلف لغة SVG عن غيرها. فهي مكتوبة بلغة XML (لغة الترميز القابلة للتوسيع)، وهي نفس لغة الترميز التي تشكل أساس صفحات الويب، مما يعني أن ملف SVG يمكن أن يحتوي على علامات البرامج النصية وعناصر الارتباط ومحتويات الويب التفاعلية الأخرى التي يعالجها المتصفح بنفس الطريقة التي يعالج بها أي صفحة ويب.
وهذه هي الثغرة التي يستغلها المهاجمون. لم تحتوِ الملفات المستخدمة في الحملة التي حللها ميرتنز على أي محتوى رسومي على الإطلاق. فقد كانت عبارة عن كود برمجي بحت: لغة جافا سكريبت مُشوشة ومُغلفة بأدق غلاف SVG ممكن، حيث كان الغرض الوحيد من وجود حاوية SVG هو الوصول إلى متصفح الضحية مع تصنيفها كمرفق صورة من قِبل بوابة البريد الإلكتروني.
لماذا أصبح هذا الأمر قضية ملحة؟
لا يُعد استخدام ملفات SVG كوسيلة للهجوم أمراً جديداً، لكن استخدامها على نطاق واسع قد تسارع. فقد وثّق الباحثون وجود مرفقات SVG ضارة في رسائل البريد الإلكتروني منذ حوالي عام 2017، مما يطرح السؤال البديهي: ما الذي تغير ليجعل هذه المشكلة تستحق المناقشة اليوم؟
تغير أمران، في المقام الأول.
أولاً، تغير الحجم بشكل كبير. فقد زاد عدد مرفقات SVG الخبيثة خمسين ضعفاً في عام 2025 مقارنةً بعام 2024 (تقرير اتجاهات التصيد الاحتيالي الصادر عن Hoxhunt لعام 2026)، وفي حملة واحدة في فبراير 2026، رصدت شركة مايكروسوفت إرسال 1.2 مليون رسالة تصيد احتيالي تستند إلى SVG إلى أكثر من 53,000 مؤسسة في 23 دولة. هذه التقنية ليست جديدة، لكن اعتمادها على نطاق واسع هو أمر جديد.
ثانياً، تغير المشهد الدفاعي بطرق جعلت تنسيق SVG أكثر جاذبية. فقد قامت مايكروسوفت بتعطيل ماكروات Office بشكل افتراضي في عام 2022، وأصبحت التهديدات المستندة إلى ملفات PDF تخضع لرقابة أشد، ووصل تنسيق SVG إلى العديد من بوابات الأمان بسجل سمعة نظيف نسبيًا، مما يعني أن المهاجمين الذين يسلكون المسار الأسهل سرعان ما وجدوا تنسيق SVG جذابًا للغاية.
تتميز تقنية التحايل التي وثّقها ميرتنز بطابعها الخفي. حيث يتم تعريف لغة جافا سكريبت المضمنة في ملف SVG باستخدام النوع «application/ecmascript» بدلاً من النوع القياسي «text/javascript»، ورغم أن المتصفحات تتعامل مع كلا النوعين بنفس الطريقة وتنفذ البرامج النصية الموسومة بأي منهما، فإن الاختلاف بين ما تقبله المتصفحات وما أدوات الأمان هو بالضبط المكان الذي يحدث فيه الهجوم.
عندما قام RFC 9239 بتحديث المعيار في عام 2022، التزمت شركات برمجيات الأمان بذلك وأزالت «application/ecmascript» من قوائم الفحص الخاصة بها. أما المتصفحات، التي صُممت لتضمن التوافق مع الإصدارات السابقة، فقد واصلت تنفيذه على أي حال. وقد نص المعيار على أن هذا النوع قد تم إيقاف استخدامه. لكن المتصفحات لم تتلقَ هذا الإشعار قط.
والنتيجة هي وجود ثغرة مستمرة. فـ«application/ecmascript» ليس معرّفًا جديدًا أو غامضًا، بل له تاريخ يمتد إلى أوائل العقد الأول من القرن الحادي والعشرين. ولم يبتكره المهاجمون. بل لاحظوا أن عملية الانتقال وفقًا لمستند RFC قد خلقت تباينًا بين المتصفحات التي تعمل بالسلوك القديم وأدوات الفحص التي تفرض المعيار الجديد، وهذا التباين لا يزول من تلقاء نفسه. تظل أي بوابة لم تقم صراحةً بإعادة إضافة أسماء مستعارة MIME لـ ECMAScript التي تم إهمالها إلى قواعد الفحص الخاصة بها معرضة للخطر، ليس لأنها قديمة، بل لأنها طبقت معيارًا لم تتبعه المتصفحات.
كيف يتم تخصيص الهجوم بحيث يصل إلى صندوق الوارد
يتم ترميز عنوان المستلم باستخدام Base64 وإدراجه مباشرةً في حمولة ملف SVG، مما يعني أن كل مرفق في هذه الحملة يُنشئ رابط تصيد فريدًا ومخصصًا يستهدف مستلمًا معينًا، بتكلفة تقترب من الصفر.
هذا المستوى من التخصيص مهم لأنه يتغلب على الأساليب الاستدلالية التي تكشف الحملات العامة، حيث لا توجد حمولة متكررة، ولا عنوان إعادة توجيه مشترك، ولا نمط يتكرر عبر المستلمين بالطريقة التي تتبعها عمليات التصيد الاحتيالي الجماعية.
يتم ترميز وجهة إعادة التوجيه باستخدام Base64 ثم تشفيرها باستخدام مفتاح يتم تكوينه من متغيرين منفصلين أثناء وقت التشغيل. لا يُعد هذا تشفيرًا متطورًا، لكن ما يجعله فعالاً في مواجهة أدوات الفحص الآلية هو عملية تكوين المفتاح نفسها.
تحتاج أنظمة الكشف التي تحاول عكس عملية التعتيم إلى معرفة كل من الخوارزمية والمفتاح، والمفتاح هنا لا يوجد كقيمة واحدة في أي مكان بالملف. فهو مقسم بين متغيرين ولا يتم ربطهما إلا عند التنفيذ، مما يعني أن أداة الفحص لا يمكنها إعادة بناء عنوان URL الوجهة دون تحليل تجميع وقت التشغيل أولاً، وهذا يتطلب تنفيذ البرنامج النصي بدلاً من مجرد قراءته. لا ينتج عن التحليل الثابت سوى القليل من الإشارات القابلة للاستخدام، ولا تصبح الحمولة قابلة للقراءة إلا داخل بيئة متصفح حية، وهو بالضبط المكان الذي لا تتم فيه معظم عمليات الفحص عند البوابة.
قد يتم اكتشاف كل طبقة من طبقات التهرب على حدة، ولكن عند تجميعها معًا — مثل تنسيق المرفق المصنف كصورة، ونوع MIME قديم، وحمولة مشفرة، ونطاق الوجهة التابع لنطاق من المستوى الأعلى الذي لا يحتوي إلا على سجل محدود من حالات إساءة الاستخدام — فإنها تتضافر لزيادة احتمالية الوصول إلى صندوق الوارد بشكل كبير.
لم تتعطل بوابتك. بل إن الهجوم تمكن من التهرب من الكشف.
يعتمد نظام أمان البريد الإلكتروني القائم على الكشف على سؤال أساسي: هل يتطابق هذا الملف مع تهديد معروف أو يمكن التعرف عليه؟ وتعتمد فعاليته على المعرفة المسبقة، سواء من خلال التوقيعات أو أنماط السلوك.
وهذه التبعية هي القيد الهيكلي الذي تكشفه هذه الحملة. فالتراكم المتتالي لعمليات التعتيم يعني أنه لا يوجد فعليًّا ما يمكن للممسح أن يكتشفه، كما أن تصنيف ملفات SVG يعني أن الملف قد لا يخضع لنفس مستوى التدقيق الذي يخضع له مستند Office أو ملف قابل للتنفيذ. فإذا كانت بوابتك تصنف ملفات SVG على أنها تنسيق صور وتطبق فحصًا أقل صرامة وفقًا لذلك، فمن المرجح ألا تكون هذه الحملة قد تم اكتشافها على مستوى البوابة. وهذه حالة يعمل فيها الهجوم خارج نطاق ما يمكن أن يقيّمه نظام الكشف.
هذا لا يعني أن آلية الكشف غير فعالة. فهي تعمل بشكل جيد في مواجهة التهديدات المعروفة، ولا توجد بنية أمنية للبريد الإلكتروني تكون فعالة بدونها. والسؤال هو: ماذا يحدث في حالة التهديدات الجديدة تمامًا التي لم ترها أنظمة الكشف من قبل؟
"الوقاية أولاً" تعني الإزالة الاستباقية لجميع المحتويات النشطة
يتبنى نهج «الوقاية أولاً» استجابة تكميلية إلى جانب عملية الكشف: هل لا يزال هذا الملف يحتوي على محتوى نشط؟
لا تسعى تقنية Deep CDR™ إلى تحديد ما إذا كان الملف ضارًا أم لا. بل تقوم بدلاً من ذلك بتفكيك الملف، وإزالة أي عناصر قد تكون ضارة أو مخالفة للسياسة، وتقديم نسخة خالية من التهديدات وقابلة للاستخدام. وبالنسبة لملف SVG يحتوي على نص برمجي نشط، فإن ذلك يعني أن المستخدم يتلقى ملفًا يتم عرضه بالشكل المقصود في حالة وجود محتوى رسومي شرعي، ولكن بدون النص البرمجي الذي يتيح تنفيذ الهجوم.
وقد تم إثبات فعالية هذا النهج من خلال الحصول على أول تقييم بنسبة 100% على الإطلاق في اختبار «إزالة العناصر الضارة وإعادة بناء المحتوى» الذي أج رته SE Labs، والذي أقر بأن تقنية Deep CDR™ هي أول حل CDR على الإطلاق يحقق درجة 100% في كل من الحماية والدقة.
لا يمكن تحييد كل التهديدات عن طريق عملية التطهير وحدها. فالحمولات المراوغة — أي الملفات المصممة بحيث تبدو غير ضارة عند التحليل الثابت ولا يتم تنشيطها إلا أثناء وقت التشغيل — تتطلب فحصًا سلوكيًّا يتجاوز نطاق عملية التطهير. يُغلقMetaDefender هذه الفجوة من خلال التحليل الديناميكي في بيئة الحماية (الساندبوكس)، حيث يكشف عن السلوك الخبيث من خلال المحاكاة ويقدم نتيجة موثوقة واحدة. وبمعدل كشف يبلغ 99.9% للتهديدات من نوع «صفر يوم»، يعالج Aether المخاطر المتبقية التي لا يُصمم التنقية والمسح المتعدد وحدهما لمعالجتها.
نمط يستحق المتابعة خارج نطاق SVG
SVG هو المثال الحالي ولن يكون الأخير. هذا النمط أوسع نطاقًا من SVG: فأي تنسيق ملف يبدو شرعيًّا بينما يخفي محتوىً قابلاً للتنفيذ هو مرشح لتلقي نفس المعاملة.
تقوم المرفقات بتنسيق HTML بتهريب الحمولات عبر بوابات الأمان. وتقوم رموز QR المضمنة في ملفات PDF بإعادة التوجيه إلى صفحات تهدف إلى سرقة بيانات الاعتماد. وتختبئ الحمولات المستخفية داخل البيانات الوصفية للصور. وفي كل حالة من هذه الحالات، يكون الملف مطابقًا تمامًا لما يدعيه من الناحية الهيكلية، في حين أنه يحمل محتوى لم يُصمم فحص التصنيف السطحي أبدًا لاكتشافه.
الدرس المستفاد هنا ليس أن أي تنسيق معين يمثل خطراً، بل أن عبارة «هذا الملف يبدو غير ضار» لم تعد أساساً يمكن الدفاع عنه عند اتخاذ قرارات التسليم. فعندما يجتاز الملف جميع اختبارات الكشف، هل ينبغي تسليمه تلقائياً، أم ينبغي تطهيره بغض النظر عن ذلك؟
كيف OPSWAT نهجًا متعدد الطبقات Email Security
يعمل المهاجمون يوميًا انطلاقًا من افتراض أن الكشف عن التهديدات هو خط الدفاع الأخير. أما بالنسبة لنا، فهو جزء من نهج متعدد الطبقات يجمع بين تقنيات مختلفة لتعزيز الأمن إلى أقصى حد على مستوى الحدود الخارجية العملاء. Email Security MetaDefender™ يطبق هذا المنطق عبر نموذجي نشر:
- Email Gateway Security MetaDefender™ يتم نشره محليًا كبرنامج على مستوى SMTP/MX. تعمل تقنية Deep CDR™ التي تغطي أكثر من 200 نوع من الملفات على إزالة المحتوى النشط من كل مرفق وتقوم بمسح الأرشيفات المتداخلة بشكل متكرر من أجل التطهير العميق، بينما تعمل Multiscanning Metascan™ Multiscanning التي تغطي أكثر من 30 محركًا لمكافحة الفيروسات على إجراء الكشف بشكل متوازٍ، ويقدم الذكاء الاصطناعي التنبئي Alin AI قرارًا في غضون أجزاء من الألف من الثانية بشأن ما إذا كان المرفق يحتوي على تهديدات دون الحاجة إلى تشغيله، وتغطي تقنية الصندوق الرملي MetaDefender الحمولات المراوغة التي تتطلب تحليلًا سلوكيًا أعمق، وتمنع تقنية Proactive DLP™ التسريبات من المصدر عبر أكثر من 125 نوعًا من الملفات.
- MetaDefender™ Cloud Email Security يطبق نفس مبدأ «الوقاية أولاً» داخل بيئات Microsoft 365 دون الحاجة إلى تغيير سجلات MX أو استخدام أجهزة إضافية أو تعطيل تدفق البريد. تعمل تقنية Deep CDR™ MetaDefender وMetascan Multiscanning ما يصل إلى 17 محركًا لمكافحة الفيروسات وPredictive Alin AI على فحص وتطهير كل مرفق في رسائل البريد الإلكتروني الواردة والصادرة، بما في ذلك الملفات المشفرة، قبل وصولها إلى المستخدم.
