Docenas de sitios pornográficos están distribuyendo archivos en formato SVG que contienen malware diseñado para provocar interacciones no autorizadas en Facebook, informó la firma de seguridad Malwarebytes. Según la investigación, los administradores de estos portales utilizan el código malicioso para generar "me gusta" en publicaciones que promueven su propio contenido.
El formato Scalable Vector Graphics (SVG) es un estándar abierto para gráficos bidimensionales. A diferencia de imágenes en formatos como JPG o PNG, el SVG utiliza texto basado en XML para definir su apariencia, lo que permite escalarlo sin pérdida de calidad. No obstante, esta característica también facilita la inclusión de HTML y JavaScript, lo que incrementa el riesgo de uso malicioso, como ataques de inyección de código o secuencias de comandos entre sitios.
Durante la investigación, Malwarebytes detectó que los archivos contenían JavaScript oculto mediante una versión personalizada de la técnica "JSFuck", la cual codifica el contenido utilizando un conjunto limitado de caracteres. Tras ser decodificado, el script descargaba otro código ofuscado cuya carga final era un troyano identificado como Trojan.JS.Likejack. Este programa inducía al navegador a registrar "me gusta" en publicaciones de Facebook siempre que el usuario mantuviera su sesión abierta.
"Este troyano, también escrito en Javascript, hace clic silenciosamente en el botón 'Me gusta' de una página de Facebook sin el conocimiento ni el consentimiento del usuario, en este caso las publicaciones para adultos que encontramos arriba", explicó Pieter Arntz, investigador de Malwarebytes. "El usuario deberá iniciar sesión en Facebook para que esto funcione, pero sabemos que mucha gente mantiene Facebook abierto para facilitar el acceso".
De acuerdo con los investigadores, descomprimir el ataque requirió un trabajo minucioso debido a la complejidad del código y la capa adicional de ofuscación. La campaña está dirigida a visitantes selectos de sitios pornográficos que operan con sistemas de gestión de contenido WordPress.
Los usos maliciosos del formato SVG ya se registraron previamente. En 2023, un grupo de hackers prorrusos utilizó una etiqueta SVG para explotar un error de scripting entre sitios en Roundcube, un servidor de correo usado por más de mil servicios web. En junio, otro ataque empleó un archivo SVG para mostrar una pantalla falsa de inicio de sesión de Microsoft con el correo de la víctima ya insertado.
Arntz señaló que Facebook elimina las cuentas implicadas en este tipo de abusos de manera regular, aunque los responsables suelen reaparecer con nuevos perfiles. (Notipress)
