Birçok yetişkin içerikli site, Facebook'ta beğeni toplamak için tanıdık bir yönteme başvuruyor: Tarayıcıların, kullanıcının bilgisi olmadan siteleri desteklemesine neden olan kötü amaçlı yazılımlar. Bu kez siteler, bu zararlı yazılımları yaymak için yeni bir aracı kullanıyor: .SVG uzantılı görsel dosyaları.
Ölçeklenebilir Vektör Grafikleri (SVG), iki boyutlu grafikleri görüntülemek için açık bir standarttır. .JPG veya .PNG gibi daha yaygın formatların aksine, .SVG dosyaları görüntünün nasıl görüneceğini belirtmek için XML tabanlı metin kullanır. Bu sayede dosyalar, pikselleşme nedeniyle kaliteden ödün vermeden yeniden boyutlandırılabilir. Ancak burada kritik bir nokta var: Bu dosyalardaki metin, HTML ve JavaScript içerebilir. Bu durum ise çapraz site betik çalıştırma (XSS), HTML enjeksiyonu ve hizmet reddi gibi çeşitli saldırılar için istismar edilme riskini beraberinde getirir.
Sessiz Tıklayıcının Vaka Analizi
Güvenlik firması Malwarebytes, yakın zamanda yaptığı bir açıklamada, yetişkin içerikli sitelerin seçilmiş ziyaretçilere tuzaklı .SVG dosyaları yerleştirdiğini keşfettiğini duyurdu. Bu dosyalardan birine tıklandığında, kullanıcının tarayıcısı, siteyi tanıtan Facebook gönderilerini sessizce beğenir.
.SVG görüntülerindeki JavaScript kodlarının büyük bir kısmının, yalnızca birkaç karakter türü kullanarak JavaScript'i gizli bir metin yığınına kodlayan özelleştirilmiş bir "JSFuck" versiyonuyla ağır şekilde gizlenmiş olması, saldırının çözümlenmesini zorlaştırdı.
Çözüldükten sonra, betik tarayıcının ek gizlenmiş JavaScript zincirleri indirmesine neden olur. Son yük olan ve bilinen zararlı bir betik olan Trojan.JS.Likejack, kullanıcının Facebook hesabının açık olması koşuluyla tarayıcıyı belirtilen bir Facebook gönderisini beğenmeye zorlar.
Malwarebytes araştırmacısı Pieter Arntz, "JavaScript ile yazılan bu Truva atı, kullanıcının bilgisi veya onayı olmadan sessizce bir Facebook sayfasının 'Beğen' düğmesine tıklar. Bu durumda bulduğumuz yetişkin gönderileri söz konusuydu," dedi. "Bunun çalışması için kullanıcının Facebook'a giriş yapmış olması gerekir, ancak birçok insanın kolay erişim için Facebook'u açık tuttuğunu biliyoruz."
.SVG formatının zararlı kullanımları daha önce de belgelenmiştir. 2023 yılında, Rusya yanlısı hackerlar, 1.000'den fazla web posta hizmeti ve milyonlarca son kullanıcısı tarafından kullanılan bir sunucu uygulaması olan Roundcube'daki sıfırıncı gün açığını istismar etmek için bir .SVG etiketi kullanmıştı. Haziran ayında ise araştırmacılar, hedef kullanıcının e-posta adresinin önceden doldurulduğu sahte bir Microsoft giriş ekranını açmak için .SVG dosyası kullanan bir kimlik avı saldırısını belgeledi.
Arntz, Malwarebytes'in bu şekilde beğenileri gasp etmek için .SVG dosyalarını kötüye kullanan düzinelerce yetişkin içerikli siteyi belirlediğini söyledi. Bu sitelerin tamamının WordPress içerik yönetim sisteminde çalıştığı belirtildi. Facebook, bu tür istismarlarda bulunan hesapları düzenli olarak kapatıyor. Ancak bu tür siteler yeni profillerle geri dönmeye devam ediyor.
