성인 사이트들, 멀웨어가 포함된 SVG 파일을 이용해 페이스북 좋아요를 빼앗아갑니다

점점 더 많은 나라들이 성인 웹사이트에서 연령 검증을 요구하면서, 일부 부정직한 성인 사이트들은 Facebook에서 자신들을 홍보하기 위해 정교한 악성 소프트웨어 기법을 사용하고 있습니다.

Malwarebytes의 보안 연구원들이 수십 개의 성인 웹사이트에서 SVG 이미지 파일에 숨겨진 악성 코드를 사용하여, 사용자들이 동의하지 않은 상태에서 Facebook 게시물을 ‘좋아요’하게 만드는 것을 발견하였습니다.

공격자들은 SVG 그래픽 파일 내에 위험한 자바스크립트 코드를 삽입함으로써 이를 수행하며, 이 파일에는 사진뿐만 아니라 악성 스크립트도 포함될 수 있습니다.

“이런 사람들 중 한 명이 이미지를 클릭하면, 브라우저가 무심코 사이트를 홍보하는 페이스북 게시물에 대한 좋아요를 등록하게 됩니다,”라고 ArsTechnica가 설명합니다. “이 작업을 진행하려면 사용자가 페이스북에 로그인해 있어야 하지만, 많은 사람들이 쉽게 접근하기 위해 페이스북을 계속 열어두는 것을 알고 있습니다,”라고 Malwarebytes 연구원인 Pieter Arntz가 말했습니다.

“JSFuck”이라는 방법을 사용하여 악성 코드가 많이 감추어져 있어, 자바스크립트를 혼란스러운 텍스트로 변환하여 감지를 어렵게 만듭니다. 한번 트리거되면, ‘Trojan.JS.Likejack’이라는 트로이 목마를 다운로드하여, Facebook에서 그들의 가시성을 높이기 위해 성인 콘텐츠 게시물을 묵묵히 클릭하기 시작합니다.

많은 홍보된 사이트들은 AI에 의해 생성된 유명인들의 명백한 사진을 보여주는 것을 주장하며, blogspot.com과 같은 무료 블로그 플랫폼에서 호스팅됩니다.

공격자들은 SVG 파일이 무해한 이미지를 나타낸다는 오해를 이용하여 그들의 캠페인을 실행합니다. SVG 파일 내의 HTML과 자바스크립트 코드의 결합은 이들을 사이버 공격의 위험한 도구로 변모시킵니다.

페이스북은 정기적으로 악의적인 계정을 차단하지만, 이러한 악의적인 프로필들이 자주 되돌아와 이는 계속되는 문제가 됩니다.