新西蘭網(wǎng)絡(luò)安全公司 Malwarebytes 日前發(fā)現(xiàn)部分成人色情網(wǎng)站正在對特定訪問者投毒以便劫持訪問者的 Facebook 賬戶，最終目的則是劫持賬戶后用于幫助某些廣告帖子點贊。

這種操作方式并不罕見，不過此次攻擊者嘗試將惡意代碼嵌入到 SVG 圖像中發(fā)起攻擊，這種攻擊方式更加隱秘難以被常規(guī)安全軟件發(fā)現(xiàn)，當(dāng)然用戶也很難發(fā)現(xiàn)自己遭到劫持。

SVG 屬于可縮放矢量圖形格式，與常規(guī)的 JPG 和 PNG 等圖像格式不同的是，SVG 使用基于 XML 的文本來指定圖像的顯示方式，允許調(diào)整文件大小而不會因為像素化導(dǎo)致圖片失去質(zhì)量。

也就是 SVG 圖像其實可以無限放大而不會模糊，常規(guī)圖像在多倍放大后就會出現(xiàn)模糊的情況，而 SVG 的工作方式意味著其 XML 文本也可以用來添加 HTML 和 JavaScript 腳本。

Malwarebytes 發(fā)現(xiàn)部分色情網(wǎng)站使用 SVG 圖像誘導(dǎo)用戶點擊，當(dāng)用戶點擊圖像時 SVG 圖像包含的惡意 JavaScript 腳本就會用來劫持用戶的 Facebook 賬戶并為特定帖子點贊。

為了避免被發(fā)現(xiàn)黑客還對惡意代碼進(jìn)行混淆，解密初始腳本后會下載額外混淆的 JavaScript 腳本，最終的有效負(fù)載名為 Trojan.JS.Likejack (由安全公司根據(jù)木馬類型命名)。

目前尚不清楚這些惡意 SVG 圖像是色情網(wǎng)站主動投放的還是遭到黑客入侵，這些網(wǎng)站的特性都是使用 WordPress 系統(tǒng)，不過既然是圖像顯示到前臺，網(wǎng)站管理員應(yīng)該會發(fā)現(xiàn)異常，所以大概率是網(wǎng)站自己投放的。

Malwarebytes 已經(jīng)開始對這些腳本進(jìn)行攔截，當(dāng)用戶訪問這些網(wǎng)站并點擊 SVG 下載 JavaScript 腳本時，Malwarebytes 可以識別到瀏覽器下載惡意腳本并進(jìn)行阻斷，避免惡意木馬進(jìn)入瀏覽器并運行。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/