À medida que mais e mais sites implementam a verificação de idade, muitos usuários estão migrando para sites menores e menos regulamentados – aumentando inadvertidamente o risco de encontrar malware. Os cibercriminosos estão aproveitando essa tendência para ocultar códigos maliciosos em arquivos de imagem SVG que podem realizar ações prejudiciais nos computadores dos usuários.
À medida que mais países exigem verificação de idade para sites adultos, alguns sites menores começam a explorar malware oculto para aumentar sua visibilidade em plataformas de mídia social como o Facebook. Pesquisadores da Malwarebytes descobriram recentemente que esses malwares costumam usar um tipo de arquivo de imagem chamado gráficos vetoriais escaláveis (SVG), que pode conter códigos prejudiciais.
Os arquivos SVG são diferentes dos formatos de imagem padrão, como JPG e PNG. Eles usam XML, uma forma de código que pode não apenas renderizar imagens, mas também incluir HTML e JavaScript – linguagens também usadas para criar sites dinâmicos. Este recurso permite que invasores ocultem malware em imagens SVG. Como muitos usuários pensam nos SVGs apenas como imagens inofensivas, eles não acham que esses arquivos possam conter ameaças à segurança.
Veja como o golpe funciona: postagens de blog com temas adultos são compartilhadas no Facebook, muitas vezes promovendo conteúdo de celebridades falso ou gerado por IA. Quando os usuários clicam nesses links, eles podem ser solicitados a baixar uma imagem SVG. Abrir ou interagir com esta imagem aciona código JavaScript oculto incorporado no arquivo SVG. Os pesquisadores descobriram que o código malicioso é ofuscado usando uma técnica especial que requer apenas alguns caracteres e truques de codificação inteligentes para mascarar sua verdadeira intenção, evitando assim a detecção.
Uma vez acionado, o script oculto baixa código malicioso adicional do site relevante. Isso leva à instalação de um malware chamado Trojan.JS.Likejack, que força secretamente o navegador do usuário a “curtir” uma postagem ou página específica do Facebook. Essas curtidas automatizadas ajudam a promover conteúdo adulto sem o conhecimento do usuário, mas somente se a vítima estiver logada no Facebook.
Os arquivos SVG são baseados em XML e podem conter HTML e JavaScript, que podem ser explorados por criminosos para fins maliciosos.
A Malwarebytes descobriu que muitas das páginas envolvidas nesta campanha foram construídas em WordPress e estavam relacionadas entre si. Ao gerar centenas de “curtidas” falsas, essas postagens ganham maior visibilidade no algoritmo do Facebook, ajudando os golpistas a promover seus sites sem ter que pagar por publicidade.
Embora o Facebook tente ativamente encerrar essas contas falsas, os golpistas continuam a criar novas. O anonimato da Internet torna difícil interromper completamente este ciclo.
Assim que o Malwarebytes soube do esquema, descobriu que muitas páginas do Blogspot[.]com faziam parte dele.
Usar arquivos SVG para espalhar malware não é novidade. Os invasores já os usaram para ataques de phishing, scripts e outros ataques de hacking. Este último ataque é notável porque oculta de forma inteligente códigos nocivos e manipula plataformas de mídia social para gerar tráfego e visibilidade.