Dezenas de sites com conteúdos para adultos estão a recorrer a um malware para gerar gostos no Facebook – este malware faz com que os browsers façam Like em páginas sem que o utilizador se apreceba. Desta vez, esses sites estão a usar um veículo mais recente para espalhar este malware – ficheiros de imagem .svg.
O formato Scalable Vector Graphics (.SVG) é um padrão aberto para renderizar gráficos bidimensionais. Ao contrário dos formatos mais comuns, como .jpg ou .png, o .svg usa texto XML para especificar como a imagem deve aparecer, permitindo que os ficheiros sejam redimensionados sem perder qualidade devido à pixelização. Mas é aí que está o problema: o texto nestes ficheiros pode incorporar HTML e JavaScript, e isso, por sua vez, abre o risco de serem usados de forma abusiva para ataques, incluindo cross-site scripting, injecção de HTML e negação de serviço (DDoS).
A empresa de segurança Malwarebytes, anunciou na semana passada que descobriu que sites com conteúdos pornográficos têm vindo a semear ficheiros .svg armadilhados para alguns visitantes seleccionados. Quando uma dessas pessoas clica na imagem, o browser regista sub-repticiamente um gosto nas publicações do Facebook que promovem o site.
Analisar o ataque deu trabalho porque grande parte do JavaScript nas imagens .svg estava fortemente obscurecido usando uma versão personalizada de “JSFuck”, uma técnica que usa apenas um punhado de tipos de caracteres para codificar JavaScript numa parede de texto camuflada.
Depois de descodificado, o script faz com que o browser descarregue uma cadeia de JavaScript adicional que também está codificada. O último software a ser executado, é um script malicioso conhecido chamado Trojan.JS.Likejack, induz o browser a gostar de uma publicação específica do Facebook, desde que o utilizador tenha a sua conta aberta.
“Este Trojan, também escrito em Javascript, clica silenciosamente num botão de ‘Gosto’ para uma página do Facebook sem o conhecimento ou consentimento do utilizador, neste caso as publicações para adultos que encontrámos”, escreveu o investigador da Malwarebytes, Pieter Arntz. “O utilizador terá de estar com a sessão iniciada no Facebook para que isto funcione, mas sabemos que muitas pessoas mantêm o Facebook aberto para fácil acesso.”
Já tinham sido documentados anteriormente usos maliciosos do formato .svg. Em 2023, hackers pró-Rússia usaram uma tag .svg para explorar um bug de cross-site scripting no Roundcube, uma aplicação de servidor que era usada por mais de 1.000 serviços de webmail e milhões dos utilizadores finais. Em Junho, os investigadores documentaram um ataque de phishing que usou um ficheiro .svg para abrir um ecrã de login falso da Microsoft com o endereço de e-mail do alvo já preenchido.
Arntz disse que a Malwarebytes identificou dezenas de sites de pornografia, todos baseados em WordPress, que estão a usar de forma abusiva os ficheiros .svg para sequestrar gostos. O Facebook encerra regularmente contas que se envolvem neste tipo de abuso, mas os infractores voltam regularmente com perfis novos.
