A medida que más y más sitios web implementan la verificación de edad, muchos usuarios migran a sitios más pequeños y menos regulados, lo que aumenta sin darse cuenta el riesgo de encontrar malware. Los ciberdelincuentes se están aprovechando de esta tendencia ocultando códigos maliciosos en archivos de imágenes SVG que pueden realizar acciones dañinas en las computadoras de los usuarios.

A medida que más países exigen la verificación de edad para los sitios web para adultos, algunos sitios más pequeños están comenzando a explotar malware oculto para aumentar su visibilidad en plataformas de redes sociales como Facebook. Los investigadores de Malwarebytes descubrieron recientemente que este malware suele utilizar un tipo de archivo de imagen llamado gráficos vectoriales escalables (SVG), que puede contener código dañino.

Los archivos SVG son diferentes de los formatos de imagen estándar como JPG y PNG. Utilizan XML, una forma de código que no sólo puede representar imágenes sino que también incluye HTML y JavaScript, lenguajes que también se utilizan para crear sitios web dinámicos. Esta característica permite a los atacantes ocultar malware dentro de imágenes SVG. Dado que muchos usuarios piensan que los SVG son simplemente imágenes inofensivas, no creen que estos archivos puedan contener amenazas a la seguridad.

Así es como funciona la estafa: las publicaciones de blogs con temas para adultos se comparten en Facebook, y a menudo promocionan contenido de celebridades falso o generado por inteligencia artificial. Cuando los usuarios hacen clic en estos enlaces, es posible que se les solicite que descarguen una imagen SVG. Abrir o interactuar con esta imagen activa un código JavaScript oculto incrustado en el archivo SVG. Los investigadores descubrieron que el código malicioso se ofusca utilizando una técnica especial que requiere sólo unos pocos caracteres y trucos de codificación inteligentes para enmascarar su verdadera intención, evadiendo así la detección.

Una vez activado, el script oculto descarga código malicioso adicional del sitio web correspondiente. Esto conduce a la instalación de un malware llamado Trojan.JS.Likejack, que secretamente obliga al navegador de un usuario a darle "me gusta" a una publicación o página específica de Facebook. Estos Me gusta automatizados ayudan a promover contenido para adultos sin el conocimiento del usuario, pero sólo si la víctima ha iniciado sesión en Facebook.

Los archivos SVG se basan en XML y pueden contener HTML y JavaScript, que los delincuentes pueden aprovechar con fines maliciosos.

Malwarebytes descubrió que muchas de las páginas involucradas en esta campaña estaban construidas en WordPress y estaban relacionadas entre sí. Al generar cientos de "me gusta" falsos, estas publicaciones obtienen mayor visibilidad en el algoritmo de Facebook, lo que ayuda a los estafadores a promocionar sus sitios sin tener que pagar por publicidad.

Aunque Facebook intenta activamente cerrar estas cuentas falsas, los estafadores continúan creando otras nuevas. El anonimato de Internet hace difícil detener completamente este ciclo.

Una vez que Malwarebytes se enteró del plan, descubrió que muchas páginas de Blogspot[.]com formaban parte de él.

El uso de archivos SVG para difundir malware no es nuevo. Los atacantes los han utilizado anteriormente para phishing, scripting y otros ataques de piratería. Este último ataque es notable porque oculta hábilmente código dañino y manipula las plataformas de redes sociales para generar tráfico y visibilidad.