Los usuarios de Facebook están promocionando sin saberlo en publicaciones sombrías después de hacer clic en imágenes atrapadas por la tope escondidas en el interior de los archivos SVG peligrosos en sitios web para adultos
- Los archivos SVG maliciosos se están siendo armados para que las publicaciones de Facebook sin consentimiento del usuario
- Los atacantes ocultan a JavaScript en imágenes para evitar la detección y ejecutar los peligrosos secuestros de redes sociales
- Trojan.js. LikeJack aumenta silenciosamente las publicaciones de Facebook explotando sesiones activas de víctimas desprevenidas
Los investigadores de seguridad han descubierto docenas de sitios web para adultos que están integrando código malicioso dentro de los archivos de gráficos vectoriales escalables (.SVG).
A diferencia de los formatos de imagen comunes como JPEG o PNG, los archivos SVG usan texto XML para definir imágenes, que pueden incluir HTML y JavaScript.
Esta característica hace que SVG sea adecuado para gráficos interactivos, pero también abre la puerta para la explotación a través de ataques como secuencias de comandos de sitios cruzados e inyección HTML.
Cómo funciona el ataque de clickjacking
Investigaciones de Malwarebytes Los visitantes seleccionados de estos sitios web se encuentran con imágenes SVG atrapadas en bacionado.
Cuando se hace clic, los archivos ejecutan un código JavaScript muy ofuscado, a veces utilizando una versión híbrida de una técnica conocida como “JSFuck” para disfrazar el verdadero propósito del script.
Una vez decodificado, el código descarga más JavaScript, lo que finalmente implementa una carga útil identificada como troyano.js.ikeJack.
Si la víctima tiene una sesión de Facebook abierta, el malware hace clic en silencio “me gusta” en una publicación específica sin consentimiento, lo que aumenta su visibilidad en los feeds sociales.
El impulso en la visibilidad aumenta las posibilidades de que la publicación dirigida aparezca en más alimentos de los usuarios, convirtiendo efectivamente a los visitantes desprevenidos en promotores sin su conocimiento.
El abuso de los archivos SVG no es nuevo. Hace dos años, los piratas informáticos pro-rusos explotaron el formato para llevar a cabo un ataque de secuencias de comandos entre sitios contra RoundCube, una plataforma de correo web utilizada por millones.
Más recientemente, las campañas de phishing han utilizado archivos SVG para abrir falsas Microsoft Pantallas de inicio de sesión previamente llenas con las direcciones de correo electrónico de las víctimas.
Los investigadores encontraron que muchos de estos ataques se originan en sitios web interconectados, a menudo alojados en plataformas como Blogspot[.]com, y a veces ofreciendo imágenes de celebridades explícitas que probablemente generan inteligencia artificial.
Facebook rutinariamente cierra las cuentas involucradas en tales abusos, pero aquellos detrás de las campañas a menudo regresan con nuevos perfiles.
A medida que más regiones introducen reglas de verificación de edad para el contenido de adultos, algunos usuarios pueden recurrir a sitios menos regulados que implementan tácticas de promoción agresivas.
Cómo mantenerse a salvo
El efecto de esta campaña va más allá de las interacciones de las redes sociales no deseadas. Estas tácticas se pueden usar para fines más dañinos, incluidos robo de identidad o cosecha de credenciales.
Los expertos recomiendan usar actualizado suites de seguridad que pueden detectar y bloquear dominios sospechosos.
Además, asegúrese de que su sistema tenga una configuración correctamente cortafuegos para evitar transferencias de datos no autorizadas.
La protección en tiempo real puede ayudar a identificar las amenazas antes de ejecutar, y la conciencia de los formatos de archivo capaces de ejecutar el código es esencial.
Mientras usa un VPN puede ayudar a mantener la privacidad, no es un sustituto de protección del punto final y comportamiento cauteloso en línea.
Sobre todo, tenga cuidado con lo que hace clic en Internet.
