黑客通过虚假 Facebook 帖子将恶意软件隐藏在 SVG 图像中

随着越来越多的网站实施年龄验证，许多用户正在迁移到规模较小、监管较少的网站——这无意中增加了他们遭遇恶意软件的风险。网络犯罪分子正利用这一趋势，将恶意代码隐藏在 SVG 图像文件中，这些文件可能会对用户的计算机执行有害操作。

随着越来越多的国家要求对成人网站进行年龄验证，一些小型网站开始利用隐藏的恶意软件来提升其在 Facebook 等社交媒体平台上的知名度。Malwarebytes 的研究人员最近发现，这些恶意软件通常使用一种名为可缩放矢量图形 (SVG) 的图像文件，这种文件可能携带有害代码。

SVG 文件与 JPG 和 PNG 等标准图像格式不同。它们使用 XML，这是一种代码形式，不仅可以渲染图像，还可以包含 HTML 和 JavaScript——这些语言也用于创建动态网站。此功能允许攻击者将恶意软件隐藏在 SVG 图像中。由于许多用户认为 SVG 只是无害的图片，因此他们不会想到这些文件会包含安全威胁。

该骗局的运作方式如下：Facebook 上分享成人主题的博客文章，通常宣传虚假或 AI 生成的名人内容。用户点击这些链接时，可能会被提示下载一个 SVG 图像。打开或与该图像交互会触发嵌入在 SVG 文件中的隐藏 JavaScript 代码。研究人员发现，恶意代码使用一种特殊技术进行混淆，仅需几个字符和巧妙的编码技巧即可掩盖其真实意图，从而规避检测。

一旦触发，隐藏脚本就会从相关网站下载额外的恶意代码。这会导致名为 Trojan.JS.Likejack 的恶意软件安装，该恶意软件会秘密强制用户浏览器“点赞”特定的 Facebook 帖子或页面。这些自动点赞功能会在用户不知情的情况下帮助推广成人内容，但前提是受害者已登录 Facebook。

SVG 文件基于 XML，可以包含 HTML 和 JavaScript，犯罪分子可以利用它们来达到恶意目的。

Malwarebytes 发现，参与此次攻击活动的许多页面都基于 WordPress 构建，并且相互关联。通过生成数百个虚假“赞”，这些帖子在 Facebook 算法中获得了更高的曝光度，帮助诈骗者无需支付广告费用即可推广其网站。

尽管 Facebook 积极尝试关闭这些虚假账户，但骗子仍在不断创建新账户。互联网的匿名性使得彻底阻止这种循环变得十分困难。

一旦 Malwarebytes 了解了该计划，他们就会发现许多 Blogspot[.]com 页面都是其中的一部分。

使用 SVG 文件传播恶意软件并非新招。攻击者此前曾利用它们进行网络钓鱼、脚本攻击和其他黑客攻击。此次最新攻击之所以引人注目，是因为它巧妙地隐藏了有害代码，并操纵社交媒体平台来提升流量和曝光度。