Дослідники з кібербезпеки виявили десятки сайтів, які вбудовують шкідливий код у файли формату Scalable Vector Graphics (.svg). Це графічні файли, які найчастіше використовуються для відображення іконок та схематичних картинок. Необережний клік мишкою на такій картинці призводить до неприємних наслідків.
На відміну від звичних форматів зображень JPEG чи PNG, SVG використовує XML-текст для опису зображень і може містити HTML та JavaScript. Останнє дає змогу створювати інтерактивну графіку, але також відкриває можливості для зловживань, таких як XSS-атаки чи HTML-ін’єкції.
Як працює атака clickjacking
За даними Malwarebytes, деякі відвідувачі таких сайтів стикаються з пастками у вигляді SVG-зображень.
При кліку файл запускає сильно спотворений JavaScript-код — іноді з використанням гібридної техніки JSFuck, щоб приховати справжнє призначення скрипта.
Після декодування код завантажує додаткові скрипти, які зрештою встановлюють шкідливий модуль Trojan.JS.Likejack. Якщо у жертви відкрита сесія у Facebook, шкідник непомітно тисне кнопку Like, підвищуючи видимість шкідливого сайту у стрічці новин.
Чим вищий показник охоплення, тим більше людей бачать публікацію про цей шкідливий сайт — і жертви мимоволі просувають шкідливий сайт без власної згоди.
SVG в атаках — не вперше
-
Два роки тому проросійські хакери використали SVG для XSS-атаки на Roundcube — популярну вебпоштову платформу.
-
Нещодавно у фішингових кампаніях SVG-файли відкривали підроблені сторінки входу Microsoft із вже заповненою електронною адресою жертви.
Багато таких атак походять із мережі взаємопов’язаних сайтів (наприклад, на blogspot[.]com) і часто пропонують «відверті» фото знаменитостей, ймовірно згенеровані штучним інтелектом.
Facebook регулярно блокує акаунти, що беруть участь у подібних кампаніях, але зловмисники швидко повертаються з новими профілями.
Запровадження у різних країнах правил доступу до контенту за паспортом може підштовхнути частину користувачів до менш законослухняних сайтів, які активно застосовують агресивні методи просування.
Як захиститися
Загроза від таких кампаній не обмежується небажаними «лайками» у соцмережах — вона може призвести до крадіжки особистих даних чи облікових записів.
Експерти радять:
-
Використовувати актуальні комплекси захисту, здатні блокувати підозрілі домени.
-
Переконатися, що фаєрвол налаштований правильно для запобігання несанкціонованим передачам даних.
-
Увімкнути захист у реальному часі, щоб виявляти загрози до їхнього виконання.
-
Пам’ятати, що деякі формати зображень (зокрема SVG) можуть містити код.
-
VPN допомагає зберегти приватність, але не замінює антивірус і обережну поведінку в інтернеті.
Найголовніше — уважно дивіться, куди ви клікаєте.
