Фахівці з безпеки компанії Malwarebytes виявили десятки сайтів для дорослих, що розміщують шкідливі зображення у форматі .svg. На відміну від звичних .jpg чи .png, формат SVG базується на XML-тексті, що дозволяє вбудовувати HTML та JavaScript.

Коли користувач клікає по такому зображенню, браузер непомітно виконує прихований код, який автоматично ставить «лайк» на Facebook-публікації, що просувають ці сайти. Про це пише ArsTechnica.

Зловмисники застосовують модифіковану версію техніки JSFuck, яка дозволяє кодувати JavaScript у вигляді хаотичного набору символів. Такий підхід значно ускладнює аналіз коду та виявлення його шкідливих функцій.

Після того як початковий код розкодовують, він ініціює завантаження ще кількох рівнів зашифрованих скриптів. Цей ланцюжок завантажень допомагає приховати кінцеве шкідливе навантаження та ускладнює його відстеження антивірусними системами.

На фінальному етапі запускається відомий шкідливий скрипт Trojan.JS.Likejack. Він автоматично натискає кнопку «Like» на визначеній сторінці у Facebook, якщо користувач у цей момент авторизований у соцмережі. Як зазначає дослідник Malwarebytes Пітер Арнтц, користувач «навіть не помічає дії, якщо має відкритий Facebook».

Malwarebytes ідентифікувала десятки WordPress-сайтів, що використовують цю техніку для накрутки лайків. Facebook регулярно блокує такі акаунти, але шахраї швидко повертаються з новими профілями.