年齢確認を実装する Web サイトが増えるにつれ、多くのユーザーが小規模で規制の少ないサイトに移行しており、意図せずマルウェアに遭遇するリスクが高まっています。サイバー犯罪者はこの傾向を利用して、ユーザーのコンピュータ上で有害な動作を実行できる悪意のあるコードを SVG 画像ファイルに隠しています。
アダルト Web サイトに年齢確認を義務付ける国が増えるにつれ、一部の小規模サイトが、Facebook などのソーシャル メディア プラットフォームでの知名度を高めるために隠れたマルウェアを悪用し始めています。 Malwarebytes の研究者は最近、これらのマルウェアが有害なコードを運ぶ可能性のあるスケーラブル ベクター グラフィックス (SVG) と呼ばれる種類の画像ファイルを使用していることを発見しました。
SVG ファイルは、JPG や PNG などの標準の画像形式とは異なります。 XML は、画像をレンダリングするだけでなく、動的 Web サイトの作成にも使用される言語である HTML および JavaScript も含めることができるコード形式を使用します。この機能により、攻撃者は SVG 画像内にマルウェアを隠すことができます。多くのユーザーは SVG を単なる無害な画像と考えているため、これらのファイルにセキュリティ上の脅威が含まれる可能性があるとは考えていません。
詐欺の仕組みは次のとおりです。アダルトをテーマにしたブログ投稿が Facebook で共有され、多くの場合、偽のコンテンツや AI によって生成された有名人のコンテンツが宣伝されます。ユーザーがこれらのリンクをクリックすると、SVG 画像をダウンロードするように求められる場合があります。この画像を開いたり操作したりすると、SVG ファイルに埋め込まれた非表示の JavaScript コードがトリガーされます。研究者らは、悪意のあるコードが、わずか数文字と巧妙なコーディング手法を必要とする特別な技術を使用して難読化し、その真の意図を覆い隠し、検出を回避していることを発見しました。
隠されたスクリプトがトリガーされると、関連する Web サイトから追加の悪意のあるコードがダウンロードされます。これにより、Trojan.JS.Likejack と呼ばれるマルウェアがインストールされ、ユーザーのブラウザに密かに特定の Facebook の投稿またはページに「いいね!」を強制します。これらの自動いいねは、ユーザーが知らないうちにアダルト コンテンツを宣伝するのに役立ちますが、これは被害者が Facebook にログインしている場合に限られます。
SVG ファイルは XML に基づいており、HTML と JavaScript が含まれる場合があり、犯罪者が悪意のある目的で悪用する可能性があります。
Malwarebytes は、このキャンペーンに関与したページの多くが WordPress 上に構築されており、相互に関連していることを発見しました。これらの投稿は、何百もの偽の「いいね!」を生成することで Facebook のアルゴリズムでの可視性を高め、詐欺師が広告費を支払わずにサイトを宣伝するのに役立ちます。
Facebook はこれらの偽アカウントを積極的に閉鎖しようとしていますが、詐欺師は新しいアカウントを作成し続けています。インターネットの匿名性により、このサイクルを完全に止めることが困難になります。
Malwarebytes がこのスキームについて知ると、多くの Blogspot[.]com ページがそのスキームに含まれていることを発見しました。
SVG ファイルを使用してマルウェアを拡散することは新しいことではありません。攻撃者はこれまでに、フィッシング、スクリプティング、その他のハッキング攻撃にこれらを使用していました。この最新の攻撃は、有害なコードを巧妙に隠し、ソーシャル メディア プラットフォームを操作してトラフィックと可視性を高めるため、注目に値します。