Hakerzy coraz częściej wykorzystują wymagania dotyczące weryfikacji wieku poprzez osadzenie złośliwego oprogramowania w skalowalnych plikach obrazów wektorowych (SVG), a następnie rozpowszechniając je za pośrednictwem zwodniczych postów na Facebooku. Ten trend, zgłoszony przez Skye Jacobs w dniu 9 sierpnia 2025 r., Korzystała z migrujących użytkowników do mniej regulowanych stron internetowych, nieumyślnie narażając ich na zwiększone zagrożenia bezpieczeństwa.
Ponieważ coraz więcej krajów nakłada weryfikację wieku na strony dla dorosłych, mniejsze strony uciekają się do ukrytych programów złośliwego oprogramowania w celu zawyżenia ich obecności w mediach społecznościowych, szczególnie na platformach takich jak Facebook. Naukowcy z Malwarebytes niedawno odkryli, że te schematy często wykorzystują pliki SVG, format, który w przeciwieństwie do standardowych obrazów JPG lub PNG jest oparty na XML i jest w stanie osadzić HTML i JavaScript. Ta nieodłączna zdolność pozwala atakującym ukryć złośliwy kod w pozornie nieszkodliwych plikach obrazów.
Oszustwo działa, udostępniając posty na blogu o tematyce dla dorosłych, często zawierające fałszywe lub generowane przez AI treści celebrytów na Facebooku. Gdy użytkownicy klikną te linki, są oni poproszeni o pobranie obrazu SVG. Interakcja lub otwieranie tego pliku SVG powoduje ukryte w nim ukryte JavaScript. Naukowcy Malwarebytes zauważyli, że złośliwy kod jest wysoce zaciemniony, przy użyciu minimalistycznych zestawów znaków i sprytnego kodowania w celu uniknięcia wykrywania.
Po wykonaniu ukryty skrypt pobiera dodatkowy złośliwy kod z powiązanych stron internetowych, co prowadzi do instalacji złośliwego oprogramowania zidentyfikowanego jako Trojan.js. SikeJack. Ten potajemny trojan zmusza przeglądarkę ofiary do „polubienia” konkretnych postów lub stron na Facebooku, pod warunkiem, że użytkownik jest już zalogowany na swoje konto na Facebooku. Te zautomatyzowane „polubienia” potajemnie promują treści dla dorosłych i zwiększają widoczność w ramach algorytmu Facebooka, umożliwiając oszustom na uzyskanie ekspozycji bez ponoszenia kosztów reklamowych.
Malwarebytes odkrył, że znaczna część stron zaangażowanych w tę kampanię jest zbudowana na WordPress i jest połączona. Ponadto liczne blogspot[.]Strony COM zostały zidentyfikowane jako część tego samego schematu. Podczas gdy użycie plików SVG do dystrybucji złośliwego oprogramowania nie jest nowatorską taktyką – wcześniej zastosowano do ataków phishingowych i scenariuszy – ta konkretna kampania wyróżnia się za wyrafinowane ukryte kodeks i sprytne manipulacje platformami mediów społecznościowych w celu zwiększenia ruchu i poprawy widoczności. Pomimo stałych wysiłków na Facebooku w celu rozebrania fałszywych profili, oszustów wiecznie tworzą nowe, utrwalając trudny cykl do pełnego zakłócenia z powodu anonimowego charakteru Internetu.
Source: Oszustwo plików SVG instaluje złośliwe oprogramowanie za pośrednictwem postów na Facebooku
