Hackers inundam o Facebook com vírus disfarçados em imagens SVG

Cada vez mais países exigem a implementação de sistemas de verificação de idade para usuários em sites que publicam conteúdo com restrição de idade. Diante desse cenário, hackers estão criando novas maneiras de distribuir malware. Por exemplo, pesquisadores da Malwarebytes descobriram recentemente que um dos novos esquemas de hackers envolve o uso de imagens vetoriais no formato Scalable Vector Graphics (SVG) contendo código malicioso.

Fonte da imagem: Xavier Cee / Unsplash

Arquivos SVG são diferentes de formatos de imagem padrão, como JPG e PNG. Eles usam a linguagem de marcação XML, que permite que o arquivo de imagem contenha elementos HTML e JavaScript. Isso permite que invasores incorporem código malicioso em imagens SVG. Como muitos usuários percebem SVGs como imagens comuns, eles não esperam que tais arquivos possam conter ameaças à segurança.

Os invasores publicam postagens com temática adulta no Facebook✴, muitas vezes anunciando conteúdo falso de celebridades ou materiais criados com inteligência artificial. Ao clicar no link, o usuário é solicitado a baixar uma imagem em formato SVG. A abertura desse arquivo inicia a execução do código JavaScript incorporado. Técnicas especiais são usadas para disfarçar o código malicioso, o que dificulta sua detecção.

Uma vez iniciado, o script baixa código malicioso adicional de um recurso controlado pelos invasores, o que resulta na instalação de um Trojan conhecido como Trojan.JS.Likejack no dispositivo da vítima. Ele “curte” automaticamente certas publicações e páginas no Facebook em modo furtivo✴, o que permite que conteúdo com restrição de idade seja promovido sem o conhecimento do usuário.

Segundo a fonte, muitos dos sites envolvidos nesta campanha são alimentados pelo WordPress e estão vinculados entre si. Ao gerar centenas de “curtidas” falsas, os invasores tornam suas postagens mais visíveis aos algoritmos do Facebook✴, promovendo seus sites sem pagar por publicidade. A rede social está tentando combater ativamente essas publicações, mas os invasores estão constantemente criando novas.