安全公司Malwarebytes近日披露,多家色情网站通过嵌入恶意JavaScript代码的.svg矢量图像,秘密引导用户在Facebook上为相关内容点赞。研究人员指出,.svg文件作为基于文本的图像格式,允许包含HTML和JavaScript,成为攻击者绕过安全防护、实施如跨站脚本(XSS)和HTML注入等攻击的新渠道。
据Malwarebytes研究员介绍,这些色情网站向部分访客投放被篡改的SVG图片,图片内的脚本高度混淆,仅在用户登录Facebook后点击图片时自动运行,进而诱导浏览器对与这些网站相关的Facebook帖子进行无感知点赞。该脚本的最终有效载荷被确认是恶意脚本Trojan.JS.Likejack。
此前.svg文件被用于其它网络攻击,包括2023年黑客利用SVG标签漏洞攻击邮件服务器,以及今年6月svg文件伪造微软登录界面的钓鱼活动。Malwarebytes还发现,此次涉事的色情网站多数运行在WordPress平台上。Facebook针对此类滥用行为会定期封禁违规账户,但攻击者常以新账号反复作案。