Alors que de plus en plus de sites Web mettent en œuvre la vérification de l'âge, de nombreux utilisateurs migrent vers des sites plus petits et moins réglementés, augmentant ainsi par inadvertance leur risque de rencontrer des logiciels malveillants. Les cybercriminels profitent de cette tendance en cachant du code malveillant dans des fichiers image SVG pouvant effectuer des actions nuisibles sur les ordinateurs des utilisateurs.

Alors que de plus en plus de pays exigent la vérification de l'âge pour les sites Web pour adultes, certains sites plus petits commencent à exploiter des logiciels malveillants cachés pour accroître leur visibilité sur les plateformes de médias sociaux comme Facebook. Les chercheurs de Malwarebytes ont récemment découvert que ces logiciels malveillants utilisent souvent un type de fichier image appelé graphique vectoriel évolutif (SVG), qui peut contenir du code nuisible.

Les fichiers SVG sont différents des formats d'image standard tels que JPG et PNG. Ils utilisent XML, une forme de code qui peut non seulement restituer des images, mais également inclure du HTML et du JavaScript, des langages également utilisés pour créer des sites Web dynamiques. Cette fonctionnalité permet aux attaquants de masquer les logiciels malveillants dans les images SVG. Étant donné que de nombreux utilisateurs considèrent les fichiers SVG comme de simples images inoffensives, ils ne pensent pas que ces fichiers puissent contenir des menaces de sécurité.

Voici comment fonctionne l’arnaque : des articles de blog sur le thème des adultes sont partagés sur Facebook, faisant souvent la promotion de contenus de célébrités faux ou générés par l’IA. Lorsque les utilisateurs cliquent sur ces liens, ils peuvent être invités à télécharger une image SVG. L'ouverture ou l'interaction avec cette image déclenche le code JavaScript caché intégré dans le fichier SVG. Les chercheurs ont découvert que le code malveillant est dissimulé à l'aide d'une technique spéciale qui ne nécessite que quelques caractères et des astuces de codage intelligentes pour masquer sa véritable intention, échappant ainsi à la détection.

Une fois déclenché, le script caché télécharge du code malveillant supplémentaire à partir du site Web concerné. Cela conduit à l'installation d'un malware appelé Trojan.JS.Likejack, qui force secrètement le navigateur d'un utilisateur à « aimer » une publication ou une page Facebook spécifique. Ces likes automatisés permettent de promouvoir du contenu pour adultes à l'insu de l'utilisateur, mais uniquement si la victime est connectée à Facebook.

Les fichiers SVG sont basés sur XML et peuvent contenir du HTML et du JavaScript, qui peuvent être exploités par des criminels à des fins malveillantes.

Malwarebytes a découvert que de nombreuses pages impliquées dans cette campagne étaient construites sur WordPress et étaient liées les unes aux autres. En générant des centaines de faux « j'aime », ces publications gagnent en visibilité dans l'algorithme de Facebook, aidant ainsi les fraudeurs à promouvoir leurs sites sans avoir à payer pour de la publicité.

Bien que Facebook tente activement de fermer ces faux comptes, les escrocs continuent d’en créer de nouveaux. L’anonymat d’Internet rend difficile l’arrêt complet de ce cycle.

Une fois que Malwarebytes a pris connaissance du système, ils ont découvert que de nombreuses pages Blogspot[.]com en faisaient partie.

L’utilisation de fichiers SVG pour propager des logiciels malveillants n’est pas nouvelle. Les attaquants les ont déjà utilisés à des fins de phishing, de scripts et d'autres attaques de piratage. Cette dernière attaque est remarquable car elle cache intelligemment le code nuisible et manipule les plateformes de médias sociaux pour générer du trafic et de la visibilité.