成人网站将利用性感 .svg 文件藏匿利用代码
本文信息来源:arstechnica
在图像内部运行 JavaScript?还能出什么差错呢?
数十个成人视频网站正在转向一个熟悉的来源来在 Facebook 上获取点赞——一种能让浏览器悄悄为这些网站点赞的恶意软件。这一次,这些网站使用了更为新颖的载体来传播该恶意软件——.svg 图像文件。
Scalable Vector Graphics(可缩放矢量图形)格式是一种用于呈现二维图形的开放标准。与更常见的 .jpg 或 .png 等格式不同,.svg 使用基于 XML 的文本来指定图像的显示方式,使文件在调整尺寸时不会因像素化而失真。但问题也正出在这里:这些文件中的文本可以包含 HTML 和 JavaScript,而这反过来就可能被滥用来实施一系列攻击,包括跨站脚本、HTML 注入和拒绝服务等。
静默“点赞”事件
安全公司 Malwarebytes 周五表示,他们最近发现色情网站向特定访客投放了被下了陷阱的 .svg 文件。当这些人点击图像时,会导致浏览器在不知不觉中为宣传该网站的 Facebook 帖子注册“赞”。
解析该攻击花费了不少功夫,因为许多嵌入在 .svg 图像中的 JavaScript 都被大量混淆,采用了一个定制版的“JSFuck”技术,该技术仅使用少数几类字符将 JavaScript 编码成伪装的文本墙。
一旦解码,脚本会导致浏览器下载一连串额外的混淆 JavaScript。最终负载是已知的恶意脚本 Trojan.JS.Likejack,只要用户处于已登录状态,就会促使浏览器为指定的 Facebook 帖子点赞。
“这个木马同样用 JavaScript 编写,会在用户不知情或未获同意的情况下静默点击 Facebook 页面上的‘赞’按钮,在我们上面发现的这些成人帖中就是如此,”Malwarebytes 研究员 Pieter Arntz 写道。“该手法要求用户已在 Facebook 登录,但我们知道很多人为了方便访问会一直保持 Facebook 登录状态。”
对 .svg 格式的恶意利用此前已有记录。2023 年,亲俄黑客利用 .svg 标签在 Roundcube 中利用了一个跨站脚本漏洞——Roundcube 是一个被超过 1000 个网络邮件服务和数百万终端用户使用的服务器应用程序。六月,研究人员记录了一起使用 .svg 文件打开伪造 Microsoft 登录界面的网络钓鱼攻击,目标的电子邮件地址已被预填入。
Arntz 表示,Malwarebytes 已识别出数十个色情网站,均运行在 WordPress 内容管理系统上,正像这样滥用 .svg 文件来劫持点赞。Facebook 经常关闭从事此类滥用的账户。但违规者常用新资料再次回归。