Siber saldırganlar, sahte Facebook gönderileri aracılığıyla SVG görsellerine zararlı yazılım gizleyerek kullanıcıları hedef alıyor. Yaş doğrulama gereksinimlerinin artmasıyla birlikte, kullanıcılar daha az düzenlenmiş sitelere yönelmekte, bu da siber suçlular için yeni bir açık oluşturmaktadır. Bu trendi fırsat bilen saldırganlar, kötü niyetli kodları SVG görsel dosyaları içine saklamaktadır.
Malwarebytes araştırmacıları, yetişkinlere yönelik web sitelerinin popülerliğini artırmak için Facebook’ta SVG dosyalarını kullandığını ortaya çıkardı. SVG dosyaları, XML tabanlı olmaları sayesinde HTML ve JavaScript kodlarını barındırabilmektedir. Bu özellik, zararlı yazılımların bu görsellerin içine gizlenmesine olanak tanımaktadır.
Saldırganlar, sahte veya yapay zeka tarafından oluşturulmuş ünlülerle ilgili içerikler barındıran yetişkin temalı blog gönderilerini Facebook’ta paylaşmaktadır. Kullanıcılar bu bağlantılara tıkladığında, bir SVG görseli indirmeleri istenebilir. Bu SVG görseli açıldığında veya etkileşimde bulunulduğunda, içine gizlenmiş JavaScript kodu tetiklenmektedir.
Araştırmacılar, kötü niyetli kodun tespit edilmekten kaçınmak amacıyla özel bir teknikle gizlendiğini belirtti. Tetiklenen gizli kod, ilgili web sitelerinden ek zararlı yazılım indirmektedir. Bu indirme sonucunda, kullanıcının internet tarayıcısını gizlice belirli Facebook gönderilerini veya sayfalarını “Beğenmeye” zorlayan Trojan.JS.Likejack adı verilen zararlı yazılım yüklenmektedir.
Otomatik beğeniler, kullanıcının bilgisi dışında yetişkin içeriğin tanıtılmasına yardımcı olmaktadır. Bu durum, yalnızca kurbanın Facebook’a giriş yapmış olması halinde gerçekleşmektedir. Malwarebytes, bu kampanyada yer alan birçok sayfanın WordPress altyapısı üzerine kurulduğunu ve birbirleriyle bağlantılı olduğunu tespit etti. Ayrıca, Blogspot[.]com uzantılı birçok sayfanın da bu planın bir parçası olduğu belirlendi.
Yüzlerce sahte “Beğeni” oluşturarak, bu gönderiler Facebook algoritmasında daha fazla görünürlük kazanmakta ve dolandırıcıların sitelerini reklam ödemeden tanıtmalarına yardımcı olmaktadır. Facebook bu sahte profilleri kapatmaya çalışsa da, siber suçlular sürekli yeni profiller oluşturmaktadır. İnternetin anonim doğası, bu döngünün tamamen durdurulmasını zorlaştırmaktadır.
SVG dosyalarını zararlı yazılım yaymak için kullanmak yeni bir taktik değildir. Daha önce de oltalama, betik saldırıları ve diğer siber saldırılar için kullanılmıştır. Ancak bu son planı dikkat çekici kılan, zararlı kodu gizlemenin ve trafik ile görünürlüğü artırmak için sosyal medya platformlarını manipüle etmenin ustaca birleşimidir.
