Il mistero dei like fantasma su Facebook: attenzione alle immagini che scaricate
Malwarebytes ha scoperto che sempre più siti a luce rosse stanno diffondendo un malware all'interno delle loro immagini. Ecco come funziona la frode e a cosa prestare molta attenzione.
Decine di siti pornografici stanno utilizzando file immagine in formato .svg come veicolo per diffondere malware in grado di generare automaticamente “Mi piace” su Facebook senza il consenso dell’utente. L’indagine, condotta dai ricercatori di Malwarebytes, svela come questa tecnica sfrutti le caratteristiche uniche del formato vettoriale per nascondere codice JavaScript malevolo e manipolare le sessioni aperte sul social network.
Come funziona l’attacco con file .svg
A differenza di formati comuni come .jpg o .png, il formato Scalable Vector Graphics utilizza codice XML per descrivere le immagini, permettendo l’inserimento di HTML e JavaScript al suo interno. Questa peculiarità, pur legittima, lo rende potenzialmente sfruttabile per attacchi di vario tipo, come cross-site scripting o phishing.
Secondo Malwarebytes, i siti coinvolti ospitano immagini .svg apparentemente innocue che, una volta cliccate, eseguono script nascosti. Questi, dopo una catena di caricamenti e offuscamenti — in parte realizzati con una versione personalizzata della tecnica “JSFuck” — attivano il malware Trojan.JS.Likejack, capace di far cliccare in silenzio su pulsanti “Mi piace” di post Facebook legati agli stessi siti. Perché l’operazione riesca, basta che l’utente abbia già una sessione Facebook aperta.
Precedenti e implicazioni della minaccia
Non è la prima volta che il formato .svg viene usato a scopi malevoli. Nel 2023, un gruppo di hacker filo-russi sfruttò un tag .svg per colpire una vulnerabilità XSS in Roundcube, compromettendo oltre 1.000 servizi di webmail. Più di recente, a giugno, un attacco di phishing ha utilizzato un file .svg per aprire una falsa schermata di login Microsoft già precompilata con l’email della vittima.
In questo nuovo caso, Malwarebytes ha individuato decine di siti, tutti basati su WordPress, che replicano lo schema per frodare gli utenti e aumentare artificialmente i like di alcune pagine su Facebook. La piattaforma di Meta interviene periodicamente chiudendo gli account coinvolti, ma i responsabili continuano a riapparire con nuovi profili, rendendo la minaccia persistente. Il consiglio degli esperti è di evitare di cliccare su immagini sospette, soprattutto se provenienti da fonti non verificate.
