Хакеры прячут вредоносное ПО в SVG-изображениях с помощью поддельных сообщений на Facebook Posts

Поскольку все больше и больше веб-сайтов реализуют проверку возраста, многие пользователи переходят на более мелкие и менее регулируемые сайты, что непреднамеренно увеличивает риск столкновения с вредоносным ПО. Киберпреступники пользуются этой тенденцией, пряча в файлах изображений SVG вредоносный код, который может выполнять вредоносные действия на компьютерах пользователей.

Поскольку все больше стран требуют проверки возраста для веб-сайтов для взрослых, некоторые небольшие сайты начинают использовать скрытое вредоносное ПО, чтобы повысить свою видимость в социальных сетях, таких как Facebook. Исследователи из Malwarebytes недавно обнаружили, что эти вредоносные программы часто используют тип файла изображения, называемого масштабируемой векторной графикой (SVG), который может содержать вредоносный код.

Файлы SVG отличаются от стандартных форматов изображений, таких как JPG и PNG. Они используют XML — форму кода, которая может не только отображать изображения, но также включать HTML и JavaScript — языки, которые также используются для создания динамических веб-сайтов. Эта функция позволяет злоумышленникам скрывать вредоносное ПО внутри изображений SVG. Поскольку многие пользователи думают о SVG как о безобидных изображениях, они не думают, что эти файлы могут содержать угрозы безопасности.

Вот как работает мошенничество: на Facebook публикуются посты в блогах на тему для взрослых, часто продвигающие фейковый или созданный искусственным интеллектом контент о знаменитостях. Когда пользователи нажимают на эти ссылки, им может быть предложено загрузить изображение SVG. Открытие этого изображения или взаимодействие с ним запускает скрытый код JavaScript, встроенный в файл SVG. Исследователи обнаружили, что вредоносный код запутывается с помощью специальной техники, которая требует всего лишь нескольких символов и хитрых приемов кодирования, чтобы замаскировать его истинные намерения и тем самым избежать обнаружения.

При срабатывании скрытый скрипт загружает дополнительный вредоносный код с соответствующего сайта. Это приводит к установке вредоносного ПО под названием Trojan.JS.Likejack, которое тайно заставляет браузер пользователя ставить лайк определенному сообщению или странице Facebook. Эти автоматические лайки помогают продвигать контент для взрослых без ведома пользователя, но только в том случае, если жертва авторизована в Facebook.

Файлы SVG основаны на XML и могут содержать HTML и JavaScript, которые могут быть использованы преступниками в злонамеренных целях.

Компания Malwarebytes обнаружила, что многие страницы, участвовавшие в этой кампании, были созданы на WordPress и связаны друг с другом. Создавая сотни фальшивых лайков, эти публикации становятся более заметными в алгоритме Facebook, помогая мошенникам продвигать свои сайты без необходимости платить за рекламу.

Хотя Facebook активно пытается закрыть эти фейковые аккаунты, мошенники продолжают создавать новые. Анонимность Интернета не позволяет полностью остановить этот цикл.

Как только Malwarebytes узнали об этой схеме, они обнаружили, что многие страницы Blogspot[.]com были ее частью.

Использование файлов SVG для распространения вредоносного ПО не является чем-то новым. Злоумышленники ранее использовали их для фишинга, скриптинга и других хакерских атак. Эта последняя атака примечательна тем, что она умело скрывает вредоносный код и манипулирует платформами социальных сетей для увеличения трафика и видимости.