ESET מזהירה: קבצים תמימים לכאורה בפורמט PDF ו-SVG  הם כלי הנשק החדשים של האקרים

קובצי PDF וקובצי SVG נראים יומיומיים ותמימים: חשבוניות, טפסים, הצעות מחיר או תמונות גרפיות נמצאים במחשב של כל אחד, הם נפתחים כמעט על כל מכשיר ונראים לגמרי לגיטימיים.
 בפועל הם הפכו לאחד הכלים היעילים ביותר מצד ההאקרים להפצת נוזקות, גניבת מידע והשתלטות על מערכות.

חברת ESET, מהחברות המובילות בעולם בתחום אבטחת הסייבר, מפרסמת אזהרה רחבה מפני העלייה בשימוש בשני סוגי הקבצים PDF ו-SVG כחלק ממתקפות דיגיטליות מתוחכמות, המנצלות את חוסר הערנות של המשתמשים ואת אמונם בפורמטים וקבצים מוכרים ונפוצים.

מסמך אחד – מתקפה שלמה

קובצי PDF הם חלק בלתי נפרד מהעולם העסקי והאישי של המשתמשים, המאפשרים הצגה ועריכה של מסמכים רשמיים, חוזים, הצעות מחיר, טפסים ממשלתיים וסריקות של דפים, אולם הנוחות הזו הפכה אותם גם לפיתיון מושלם למתקפות פישינג והפצת נוזקות. במקרים רבים נשלחים למשתמשים מיילים שנראים אמיתיים לחלוטין, תחת כותרות כמו "חשבונית חדשה", "תשלום בהמתנה" או "פרטי משלוח מעודכנים" – אך הקובץ המצורף מכיל קישורים זדוניים או סקריפטים שמורידים נוזקה כבר ברגע הפתיחה.

חוקרי ESET מצאו כי לעיתים הקובץ איננו PDF כלל, אלא קובץ הרצה (.exe) מוסווה בשם מטעה, לדוגמה "invoice.pdf.exe". באחת המתקפות הבולטות שנחשפו לאחרונה הופצה נוזקת הבנקים Grandoreiro באמצעות קובץ שהוצג כטופס ממשלתי לגיטימי, אך בפועל הפעיל קוד שאפשר לפושעים לגשת לפרטי בנק ולנתונים אישיים.

"אנשים רגילים לראות PDF כקובץ אמין וסטנדרטי, ולכן נוטים לפתוח אותו מבלי לחשוב פעמיים", נכתב בדו"ח מטעם חוקרי ESET. "ההאקרים מנצלים את ההרגל הזה כדי להפעיל מתקפות מתוחכמות שדורשות רק לחיצה אחת".

תמונה אחת – אלף גישות (או יותר)

לצד מתקפות ה-PDF, חוקרי ESET מזהירים מתופעה מתפתחת נוספת: ניצול של קובצי SVG – קבצי תמונה וקטוריים שנראים תמימים לחלוטין המיועדים לצורך הפצת נוזקות מתקדמות.

במהלך קמפיין זדוני שנחשף באמריקה הלטינית, נשלחו מיילים שנראו כהודעות רשמיות ממערכת בתי המשפט. ההודעה כללה קובץ SVG גדול במיוחד, שנפתח בדפדפן והציג עמוד מזויף של אתר ממשלתי, כולל אנימציה של "תהליך אימות" ומד התקדמות. בזמן שהקורבן הביט במסך, הדפדפן הוריד אוטומטית קובץ ZIP מוגן בסיסמה, שבתוכו הוסתרה נוזקה בשם AsyncRAT – כלי שליטה מרחוק (Remote Access Trojan) שאפשר לתוקפים להשתלט על המחשב, לגשת למידע רגיש, לצלם מסך, להקליט שמע ואפילו להפעיל מצלמה ומיקרופון.

החוקרים זיהו את הקובץ הזדוני כ-JS/TrojanDropper.Agent.PSJ, וציינו כי מדובר בגל מתקפות רחב שנמשך לאורך אוגוסט 2025, בעיקר בדרום אמריקה.

"לא כל מה שנראה תמים – באמת תמים"

לדברי אלכס שטיינברג, מנהל מוצר ESET בחברת קומסקיור, "מדובר בטכניקה חדשה המכונה "SVG Smuggling", שבה הקוד הזדוני מוזרק ישירות לתוך קובץ ה-SVG עצמו ללא צורך בהורדה משרת חיצוני. כך יכולים התוקפים לעקוף בקלות מערכות אבטחה ארגוניות ולמנוע גילוי של המתקפה".

"שתי המתקפות האלה ממחישות היטב עד כמה האקרים למדו לנצל את האמון שלנו בפורמטים מוכרים. PDF ו-SVG נתפסים כקבצים שגרתיים, וכשאנחנו נתקלים בהם, אנחנו לא חושבים פעמיים לפני שאנחנו פותחים. אבל מאחורי קובץ אחד יכול להסתתר קוד שמאפשר שליטה מלאה במחשב, גניבת נתונים או פגיעה חמורה בארגון".

שטיינברג מוסיף כי "המסר הוא פשוט: אל תפתחו קובץ שלא ציפיתם לו, גם אם הוא נראה לגמרי לגיטימי. השתמשו בתוכנות אבטחה עדכניות ובמערכות הגנה רב-שכבתיות. הפתרונות של ESET למשל, מזהים דפוסים מתקדמים של נוזקות עוד לפני שהן מצליחות לפגוע במשתמש הסופי. בנוסף, מומלץ להגדיר תצוגת 'סיומות של קבצים' בהגדרות תצוגה, כך ניתן יהיה לזהות בקלות שלא מדובר בקובץ PDF אלא exe ולהימנע מהרצתו".

זהירות, עדכונים וערנות אנושית

ב-ESET מדגישים כי האיום אינו טכנולוגי בלבד אלא גם התנהגותי. מתקפות רבות נשענות על טעות אנוש ועל חוסר תשומת לב, ולכן לצד הגנות טכנולוגיות חשוב להקפיד על ערנות ונהלי זהירות בסיסיים: לא לפתוח קובץ ממקור לא מוכר, לוודא את זהות השולח, להפעיל הצגת סיומות קבצים, לסרוק קבצים חשודים בתוכנות אבטחה אמינות ולשמור על גרסאות מעודכנות של תוכנות קריאת PDF ודפדפנים. במקרה של חשד או פתיחת קובץ נגוע, מומלץ לנתק את המחשב מהרשת, לבצע סריקה מלאה, לשנות סיסמאות רגישות ממכשיר אחר ולדווח מיד לצוות ה-IT או לאנשי האבטחה בארגון.