Оскільки все більше веб-сайтів впроваджують перевірку віку, багато користувачів переходять на менші, менш регульовані сайти, що ненавмисно збільшує ризик зіткнутися зі шкідливим програмним забезпеченням. Кіберзлочинці використовують цю тенденцію, ховаючи шкідливий код у файлах SVG-зображень, які можуть виконувати шкідливі дії на вашому комп’ютері.
Щоб дізнатись останні новини, слідкуйте за нашим каналом Google News онлайн або через застосунок.
Оскільки все більше країн вимагають перевірки віку для веб-сайтів для дорослих, деякі менші сайти вдаються до схем прихованого шкідливого програмного забезпечення, щоб підвищити свою популярність на платформах соціальних медіа, таких як Facebook. Дослідники з Malwarebytes нещодавно виявили, що ці схеми часто використовують тип файлу зображення під назвою Scalable Vector Graphics (SVG), який може містити шкідливий код.
Файли SVG відрізняються від стандартних форматів зображень, таких як JPG і PNG. Вони використовують XML, форму коду, яка не тільки відображає зображення, але й може містити HTML і JavaScript – ті самі мови, що використовуються для створення динамічних веб-сайтів. Ця можливість дозволяє зловмисникам приховувати шкідливе програмне забезпечення в зображеннях SVG. Оскільки багато користувачів вважають, що SVG – це просто нешкідливі зображення, вони не очікують, що ці файли можуть містити загрози безпеці.
Ось як працює ця афера. На Facebook публікуються дописи в блогах для дорослих, які часто рекламують фейковий або створений штучним інтелектом контент про знаменитостей. Коли користувачі натискають на ці посилання, їм може бути запропоновано завантажити зображення SVG. Відкриття або взаємодія з цим зображенням запускає прихований JavaScript, вбудований у файл SVG. Дослідники виявили, що шкідливий код зашифровано за допомогою спеціальної техніки, яка маскує його справжнє призначення, використовуючи лише кілька символів і хитрі кодові трюки, щоб уникнути виявлення.
Після запуску прихований скрипт завантажує додатковий шкідливий код з пов’язаних веб-сайтів. Це призводить до встановлення шкідливого програмного забезпечення, відомого як Trojan.JS.Likejack, яке таємно змушує браузер користувача «лайкати» певні публікації або сторінки Facebook. Ці автоматичні лайки допомагають просувати контент для дорослих без відома користувача, але тільки якщо жертва вже увійшла в Facebook. Файли SVG базуються на XML і можуть містити HTML та JavaScript, які злочинці можуть використовувати в зловмисних цілях.
Malwarebytes виявила, що багато сторінок, залучених до цієї кампанії, побудовані на WordPress і взаємопов’язані. Генеруючи сотні фальшивих «лайків», ці публікації отримують більшу видимість в алгоритмі Facebook, допомагаючи шахраям просувати свої сайти, не платячи за рекламу. Хоча Facebook активно намагається закрити ці фальшиві профілі, шахраї постійно створюють нові. Анонімність Інтернету ускладнює повне припинення цього циклу. Коли Malwarebytes зрозуміла схему, вони виявили, що багато сторінок Blogspot[.]com були її частиною.
Використання SVG-файлів для поширення шкідливого програмного забезпечення не є новою тактикою. Зловмисники раніше використовували їх для фішингу, скриптових атак та інших хакерських атак. Особливістю цієї останньої схеми є хитрий спосіб приховування шкідливого коду та маніпулювання соціальними мережами для збільшення трафіку та видимості.
Читайте також:
- Microsoft викрила російських хакерів, що атакують посольства
- Microsoft анонсувала AI-агент Project Ire для боротьби з кіберзагрозами