Kako sve više web stranica uvodi provjeru starosti, dio korisnika seli na manje, slabije regulirane stranice – nesvjesno se izlažući većem riziku od zlonamjernog softvera. Kibernetički kriminalci su brzo iskoristili ovaj trend i pronašli način da malware sakriju unutar naizgled bezazlenih SVG slika.
Istraživači iz Malwarebytesa otkrili su da se na Facebooku sve češće dijele objave s blogova „za odrasle” (često s lažnim ili AI-generiranim celebrity sadržajem). Kada korisnik klikne na poveznicu, može biti preusmjeren na stranicu koja nudi SVG sliku za preuzimanje. Problem je što SVG, za razliku od JPG-a ili PNG-a, nije obična slika – riječ je o XML datoteci koja može sadržavati HTML i JavaScript, iste jezike koji pokreću web stranice. To znači da „slika” može zapravo izvršiti skriptu na vašem računalu.
U ovoj kampanji skripta unutar SVG-a pokreće se čim korisnik otvori ili klikne na sliku. Kod je posebno „zamaskiran” kako bi ga antivirusni alati teže prepoznali. Nakon aktivacije, skripta preuzima dodatni zlonamjerni softver – trojanca poznatog kao Trojan.JS.Likejack. On potajno prisiljava preglednik da lajka određene Facebook objave i stranice, pod uvjetom da je korisnik već prijavljen na svoj profil.
Cilj je jednostavan – generiranjem stotina lajkova prevaranti „guraju” svoje objave visoko u Facebookov algoritam i tako dobivaju besplatnu promociju. Prema Malwarebytesu, mnoge od ovih stranica rade na WordPressu, povezane su međusobno, a dio infrastrukture koristi čak i Googleov Blogspot.
Facebook aktivno uklanja lažne profile, no kriminalci stalno otvaraju nove, pa se cijeli ciklus nastavlja. Iako korištenje SVG datoteka za širenje malwarea nije nova ideja, ova kampanja je posebno zanimljiva zbog načina na koji iskorištava socijalne mreže i skriva zlonamjerni kod.
