Обфускований код усередині .svg-файлу, завантаженого з одного з порно-сайтів.
Джерело: Malwarebytes
Після декодування скрипт змушує браузер завантажувати ланцюг додаткових обфускованих JavaScript-файлів. Остаточне навантаження, відомий шкідливий скрипт під назвою Trojan.JS.Likejack, викликає клік на кнопку «Подобається» для конкретного поста в Facebook, за умови, що користувач залишає свій акаунт відкритим.
«Цей троян, також написаний на JavaScript, без відома або згоди користувача натискає кнопку «Подобається» на сторінці Facebook, у даному випадку на дорослих постах, які ми виявили раніше», – написав дослідник Malwarebytes Пітер Арнтц. «Користувач має бути увійшов в Facebook, щоб це спрацювало, але ми знаємо, що багато людей залишають Facebook відкритим для зручності доступу.»
Зловмисні використання формату .svg вже були зафіксовані раніше. У 2023 році про-російські хакери застосували тег .svg для експлуатації вразливості міжсайтового скрипту в Roundcube, серверному додатку, що використовувався більш ніж тисячею веб-поштових сервісів та мільйонами їхніх кінцевих користувачів. У червні дослідники задокументували фішингову атаку, яка використовувала .svg-файл для відкриття фальшивого екрану входу в Microsoft з уже заповненою електронною адресою цілі.
Арнтц зазначив, що Malwarebytes виявила десятки порно-сайтів, які працюють на системі управління контентом WordPress, що зловживають .svg-файлами для захоплення «подобань». Facebook регулярно закриває акаунти, які займаються такими зловживаннями. Проте правопорушники постійно повертаються з новими профілями.