Strony dla dorosłych podwójnie niebezpieczne. Wirus lajkuje w twoim imieniu na Facebooku

Na popularnych „stronach dla dorosłych” pojawiło się nowe zagrożenie – trojan Trojan.JS.Likejack, który potajemnie „lajkuje” treści na Facebooku w imieniu ofiary. Cyberprzestępcy wykorzystują pliki graficzne w formacie SVG jako nośnik złośliwego kodu.

Specjaliści firmy Malwarebytes wykryli dziesiątki witryn pornograficznych, które pod pozorem obrazów SVG przesyłają do komputerów użytkowników zainfekowane pliki. Format SVG, powszechnie obsługiwany przez przeglądarki, w odróżnieniu od plików JPG czy PNG, zawiera opis obrazu w języku XML, a także możliwość umieszczania kodu HTML i JavaScript. Ta właściwość pozwala cyberprzestępcom na przeprowadzanie ataków z wykorzystaniem technologii XSS i wstrzykiwania kodu.

Po otwarciu spreparowanego pliku przeglądarka uruchamia się automatycznie i bez wiedzy użytkownika rejestruje „polubienia” postów na Facebooku. Zawartość promowana w ten sposób najczęściej prowadzi z powrotem do witryny, z której pochodził zainfekowany plik.

Zaawansowane techniki ukrywania kodu

Kod JavaScript w plikach SVG jest dodatkowo maskowany przy użyciu narzędzia JSFuck, co utrudnia jego wykrycie nawet doświadczonym specjalistom. Po otwarciu pliku w systemie Windows, niezależnie od ustawionej domyślnej przeglądarki, uruchamiany jest Microsoft Edge, a następnie pobierany jest kolejny fragment kodu, który ściąga trojana z serwisu chrammerstein[.]de.

Atak jest skuteczny tylko wtedy, gdy użytkownik ma aktywną sesję Facebooka w otwartej zakładce. Jak jednak zauważa Pieter Arntz z Malwarebytes, wielu internautów nie wylogowuje się z serwisu, co czyni ich idealnym celem.

Zorganizowana sieć infekcji

Wszystkie zidentyfikowane witryny korzystają z platformy Google Blogger jako hostingu. Choć Facebook regularnie blokuje konta służące do promowania treści z pomocą takich ataków, cyberprzestępcy szybko tworzą nowe profile i kontynuują kampanię.

Wykorzystanie plików SVG jako nośników złośliwego oprogramowania nie jest nowością. Już w 2024 roku pojawiały się przypadki rozprzestrzeniania wirusa GUIloader w tej formie. Eksperci z ostrzegają, że od początku 2025 roku liczba takich incydentów rośnie.