部分成人色情网站被发现将恶意代码嵌入到SVG图像中劫持用户Facebook账户

新西兰网络安全公司 Malwarebytes 日前发现部分成人色情网站正在对特定访问者投毒以便劫持访问者的 Facebook 账户，最终目的则是劫持账户后用于帮助某些广告帖子点赞。

这种操作方式并不罕见，不过此次攻击者尝试将恶意代码嵌入到 SVG 图像中发起攻击，这种攻击方式更加隐秘难以被常规安全软件发现，当然用户也很难发现自己遭到劫持。

SVG 属于可缩放矢量图形格式，与常规的 JPG 和 PNG 等图像格式不同的是，SVG 使用基于 XML 的文本来指定图像的显示方式，允许调整文件大小而不会因为像素化导致图片失去质量。

也就是 SVG 图像其实可以无限放大而不会模糊，常规图像在多倍放大后就会出现模糊的情况，而 SVG 的工作方式意味着其 XML 文本也可以用来添加 HTML 和 JavaScript 脚本。

Malwarebytes 发现部分色情网站使用 SVG 图像诱导用户点击，当用户点击图像时 SVG 图像包含的恶意 JavaScript 脚本就会用来劫持用户的 Facebook 账户并为特定帖子点赞。

为了避免被发现黑客还对恶意代码进行混淆，解密初始脚本后会下载额外混淆的 JavaScript 脚本，最终的有效负载名为 Trojan.JS.Likejack (由安全公司根据木马类型命名)。

目前尚不清楚这些恶意 SVG 图像是色情网站主动投放的还是遭到黑客入侵，这些网站的特性都是使用 WordPress 系统，不过既然是图像显示到前台，网站管理员应该会发现异常，所以大概率是网站自己投放的。

Malwarebytes 已经开始对这些脚本进行拦截，当用户访问这些网站并点击 SVG 下载 JavaScript 脚本时，Malwarebytes 可以识别到浏览器下载恶意脚本并进行阻断，避免恶意木马进入浏览器并运行。

[超站]友情链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/