Порносайти навчились “лайкати” пости в Facebook від імені їх відвідувачів

На десятках зарубіжних порносайтів виявлено нову схему поширення шкідливого коду, замаскованого під зображення у форматі .svg. Як з’ясували фахівці Malwarebytes, зловмисники вбудовують в такі файли обфусцированный JavaScript, який при кліці на картинку запускає прихований ланцюжок скриптів, що закінчується завантаженням Trojan.JS.Likejack.

Цей шкідливий код непомітно для користувача натискає кнопку «Подобається» на заздалегідь заданій публікації в Facebook, якщо у жертви в цей момент відкритий акаунт в соцмережі. Таким чином, сторінки з відвертим контентом отримують додаткове охоплення і просування за рахунок скомпрометованих браузерів.

SVG (Scalable Vector Graphics) відрізняється від звичних .jpg і .png тим, що зберігає дані у вигляді XML-тексту. Це дає можливість масштабувати зображення без втрати якості, але також дозволяє вбудовувати HTML і JavaScript. Такий функціонал давно приваблює зловмисників, оскільки відкриває шлях до XSS-атак , HTML-ін’єкцій і DoS-атак . У даному випадку автори шкідливих файлів використовували модифіковану техніку JSFuck , яка кодує JavaScript в набір символів, ускладнюючи аналіз.

Після первинного декодування скрипт завантажує нові фрагменти коду, також приховані від аналізу. Кінцева стадія атаки — примусова взаємодія з елементами Facebook, що порушує правила платформи. Facebook блокує такі акаунти, але оператори схеми швидко повертаються з новими профілями.

Подібні прийоми вже зустрічалися раніше. Так, у 2023 році хакери вже застосовували тег .svg для експлуатації XSS-уразливості у веб-клієнті Roundcube, а в червні 2025-го дослідники фіксували фішингові атаки з підробленим вікном входу Microsoft, яке також відкривалося з SVG-файлу. Зараз Malwarebytes пов’язує виявлені випадки з десятками WordPress-сайтів, що поширюють шкідливий контент подібним чином.