成人网站将漏洞利用代码藏匿于性感.svg文件中

数十个色情网站正通过一种熟悉的手段在Facebook上生成点赞——使浏览器暗中认可这些网站的恶意软件。这一次，这些网站使用了一种更新的传播恶意软件载体——.svg图像文件。

可缩放矢量图形（SVG）格式是一种用于渲染二维图形的开放标准。与.jpg或.png等更常见的格式不同，.svg使用基于XML的文本来指定图像的显示方式，允许文件调整大小而不会因像素化而丢失质量。但问题就在这里：这些文件中的文本可以包含HTML和JavaScript，这反过来又带来了它们被滥用于一系列攻击的风险，包括跨站脚本（XSS）、HTML注入和拒绝服务攻击。

静默点击器案例

安全公司Malwarebytes周五表示，最近发现色情网站一直在向特定访问者投放被篡改的.svg文件。当其中一人点击图像时，会导致浏览器暗中为推广该网站的Facebook帖子注册点赞。

分析这次攻击需要费些功夫，因为.svg图像中的大部分JavaScript都使用自定义版本的"JSFuck"进行了严重混淆，这种技术仅使用少量字符类型将JavaScript编码成伪装的文本墙。

一旦解码，该脚本会导致浏览器下载一系列额外的混淆JavaScript。最终的有效载荷是一个名为Trojan.JS.Likejack的已知恶意脚本，只要用户账户处于打开状态，它就会诱导浏览器为指定的Facebook帖子点赞。

“这个特洛伊木马同样用Javascript编写，会在用户不知情或未同意的情况下静默点击Facebook页面的’点赞’按钮，在这种情况下就是我们上面发现的成人帖子，“Malwarebytes研究员Pieter Arntz写道。“用户需要登录Facebook才能生效，但我们知道许多人保持Facebook开放以便轻松访问。”

SVG格式的恶意使用先前已有记录

.svg格式的恶意使用先前已有记录。2023年，亲俄黑客使用.svg标签利用Roundcube中的跨站脚本漏洞，这是一个被1,000多个Web邮件服务及其数百万终端用户使用的服务器应用程序。6月，研究人员记录了一次网络钓鱼攻击，该攻击使用.svg文件打开一个假的Microsoft登录屏幕，其中已填入了目标的电子邮件地址。

Arntz表示，Malwarebytes已识别出数十个色情网站，所有这些网站都运行在WordPress内容管理系统上，正在像这样滥用.svg文件来劫持点赞。Facebook定期关闭从事此类滥用行为的账户。违法者经常使用新个人资料重新出现。