- Los archivos SVG maliciosos se están siendo armados para que las publicaciones de Facebook sin consentimiento del usuario
- Los atacantes ocultan a JavaScript en imágenes para evitar la detección y ejecutar los peligrosos secuestros de redes sociales
- Trojan.js. LikeJack aumenta silenciosamente las publicaciones de Facebook explotando sesiones activas de víctimas desprevenidas
Los investigadores de seguridad han descubierto docenas de sitios web para adultos que están integrando código malicioso dentro de los archivos de gráficos vectoriales escalables (.SVG).
A diferencia de los formatos de imagen comunes como JPEG o PNG, los archivos SVG usan texto XML para definir imágenes, que pueden incluir HTML y JavaScript.
Esta característica hace que SVG sea adecuado para gráficos interactivos, pero también abre la puerta para la explotación a través de ataques como secuencias de comandos de sitios cruzados e inyección HTML.
Cómo funciona el ataque de clickjacking
La investigación de Malwarebytes encontró a los visitantes seleccionados a estos sitios web que encuentran imágenes SVG atrapadas en bobias.
Cuando se hace clic, los archivos ejecutan un código JavaScript muy ofuscado, a veces utilizando una versión híbrida de una técnica conocida como “JSFuck” para disfrazar el verdadero propósito del script.
Una vez decodificado, el código descarga más JavaScript, lo que finalmente implementa una carga útil identificada como troyano.js.ikeJack.
Si la víctima tiene una sesión de Facebook abierta, el malware hace clic en silencio “me gusta” en una publicación específica sin consentimiento, lo que aumenta su visibilidad en los feeds sociales.
El impulso en la visibilidad aumenta las posibilidades de que la publicación dirigida aparezca en más alimentos de los usuarios, convirtiendo efectivamente a los visitantes desprevenidos en promotores sin su conocimiento.
El abuso de los archivos SVG no es nuevo. Hace dos años, los piratas informáticos pro-rusos explotaron el formato para llevar a cabo un ataque de secuencias de comandos entre sitios contra RoundCube, una plataforma de correo web utilizada por millones.
Más recientemente, las campañas de phishing han utilizado archivos SVG para abrir pantallas de inicio de sesión falsas de Microsoft previamente llenas con las direcciones de correo electrónico de las víctimas.
Los investigadores encontraron que muchos de estos ataques se originan en sitios web interconectados, a menudo alojados en plataformas como Blogspot[.]com, y a veces ofreciendo imágenes de celebridades explícitas que probablemente generan inteligencia artificial.
Facebook rutinariamente cierra las cuentas involucradas en tales abusos, pero aquellos detrás de las campañas a menudo regresan con nuevos perfiles.
A medida que más regiones introducen reglas de verificación de edad para el contenido de adultos, algunos usuarios pueden recurrir a sitios menos regulados que implementan tácticas de promoción agresivas.
Cómo mantenerse a salvo
El efecto de esta campaña va más allá de las interacciones de las redes sociales no deseadas. Estas tácticas pueden usarse para fines más dañinos, incluido el robo de identidad o la recolección de credenciales.
Los expertos recomiendan usar suites de seguridad actualizadas que puedan detectar y bloquear dominios sospechosos.
Además, asegúrese de que su sistema tenga un firewall configurado correctamente para evitar transferencias de datos no autorizadas.
La protección en tiempo real puede ayudar a identificar las amenazas antes de ejecutar, y la conciencia de los formatos de archivo capaces de ejecutar el código es esencial.
Si bien el uso de una VPN puede ayudar a mantener la privacidad, no es un sustituto de una protección de punto final fuerte y un comportamiento cauteloso en línea.
Sobre todo, tenga cuidado con lo que hace clic en Internet.
