Il codice trascurato in un file .svg scaricato da uno dei siti porno.
Credito: malwarbites
Una volta terminata la decode, lo script può scaricare il browser una catena di javascript bloccato aggiuntivo. Final Pay -Lload, uno script contaminato noto come trojan.js.clack, convince il browser a scegliere il post di Facebook specificato fino a quando un account utente non è aperto.
“Questo Trojan, JavaScript, è anche scritto in JavaScript, facendo clic su un pulsante” Mi piace “per una pagina Facebook a conoscenza o consenso di un utente, in questo caso abbiamo ricevuto i post sugli adulti di cui sopra”, Peter Arantz, un ricercatore di Malwerbyites. “Deve essere effettuato l’accesso a Facebook per lavorare, ma sappiamo che molte persone tengono facilmente aperte Facebook per l’accesso.”
Gli usi contaminati del formato .svg sono stati iscritti in precedenza. Nel 2023, gli hacker russi usavano un tag .svg per utilizzare un bug di scripting in roundcobe, era un’app server che veniva utilizzata da oltre 1000 servizi webmal e dai loro ultimi utenti. Ricercatori a giugno Iscritto Un attacco di phishing che ha già incontrato un file .svg per aprire una schermata di accesso Microsoft duplicato con l’indirizzo e -mail dell’obiettivo.
Artz ha affermato che Malwitis ha identificato alcune decine di siti porno, che sono in esecuzione su tutti i sistemi di gestione dei contenuti WordPress, che stanno abusando di questi file .svg per le preferenze di dirottamento. Facebook chiude regolarmente gli account coinvolti in questo tipo di abuso. Il culto ritorna regolarmente usando nuovi profili.
