Исследователи кибербезопасности обнаружили десятки сайтов, которые встраивают вредоносный код в файлы формата Scalable Vector Graphics (.svg) . Это графические файлы, которые чаще всего используются для отображения иконок и схематических картинок. Неосторожный клик мышкой на такой картинке приводит к неприятным последствиям.
В отличие от обычных форматов изображений JPEG или PNG, SVG использует XML-текст для описания изображений и может содержать HTML и JavaScript. Последнее позволяет создавать интерактивную графику, но также открывает возможности для злоупотреблений, таких как XSS-атаки или HTML-инъекции.
Как работает атака clickjacking
По данным Malwarebytes, некоторые посетители таких сайтов сталкиваются с ловушками в виде SVG-изображений.
При клике файл запускает сильно искаженный JavaScript-код-иногда с использованием гибридной техники JSFuck , чтобы скрыть истинное назначение скрипта.
После декодирования код загружает дополнительные скрипты, которые в конечном итоге устанавливают вредоносный модуль Trojan.JS.Likejack . Если у жертвы открыта сессия в Facebook, вредитель незаметно жмет кнопку Like, повышая видимость вредоносного сайта в ленте новостей.
Чем выше показатель охвата, тем больше людей видят публикацию об этом вредоносном сайте — и жертвы невольно продвигают вредоносный сайт без собственного согласия.
SVG в атаках-не впервые
-
Два года назад пророссийские хакеры использовали SVG для XSS-атаки на Roundcube — популярную веб-почтовую платформу.
-
Недавно в фишинговых кампаниях SVG-файлы открывали поддельные страницы входа Microsoft с уже заполненным адресом электронной почты жертвы.
Многие такие атаки происходят из сети взаимосвязанных сайтов(например, на blogspot [.] com) и часто предлагают «откровенные» фото знаменитостей, вероятно сгенерированные искусственным интеллектом.
Facebook регулярно блокирует аккаунты, участвующие в подобных кампаниях, но злоумышленники быстро возвращаются с новыми профилями.
Введение в разных странах правил доступа к контенту по паспорту может подтолкнуть часть пользователей к менее законопослушным сайтам, которые активно применяют агрессивные методы продвижения.
Как защититься
Угроза от таких кампаний не ограничивается нежелательными «лайками» в соцсетях — она может привести к краже личных данных или учетных записей .
Эксперты советуют:
-
Использовать актуальные комплексы защиты, способные блокировать подозрительные домены.
-
Убедиться, что файервол настроен правильно для предотвращения несанкционированных передач данных.
-
Включить защиту в реальном времени , чтобы обнаруживать угрозы до их выполнения.
-
Помните, что некоторые форматы изображений (особенно SVG) могут содержать код.
-
VPN помогает сохранить конфиденциальность, но не заменяет антивирус и осторожное поведение в интернете.
Самое главное -внимательно смотрите, куда вы кликаете.
