#安全资讯 部分成人色情网站被发现将恶意代码嵌入到 SVG 图像中，最终目的是劫持用户的 Facebook 账户并为特定帖子点赞。在 SVG 图像中嵌入恶意代码属于比较罕见的攻击方式，不过最终都是用来下载恶意 JavaScript 脚本并降低被发现的概率。查看全文：https://ourl.co/110141

新西兰网络安全公司 Malwarebytes 日前发现部分成人色情网站正在对特定访问者投毒以便劫持访问者的 Facebook 账户，最终目的则是劫持账户后用于帮助某些广告帖子点赞。

这种操作方式并不罕见，不过此次攻击者尝试将恶意代码嵌入到 SVG 图像中发起攻击，这种攻击方式更加隐秘难以被常规安全软件发现，当然用户也很难发现自己遭到劫持。

SVG 属于可缩放矢量图形格式，与常规的 JPG 和 PNG 等图像格式不同的是，SVG 使用基于 XML 的文本来指定图像的显示方式，允许调整文件大小而不会因为像素化导致图片失去质量。

也就是 SVG 图像其实可以无限放大而不会模糊，常规图像在多倍放大后就会出现模糊的情况，而 SVG 的工作方式意味着其 XML 文本也可以用来添加 HTML 和 JavaScript 脚本。

Malwarebytes 发现部分色情网站使用 SVG 图像诱导用户点击，当用户点击图像时 SVG 图像包含的恶意 JavaScript 脚本就会用来劫持用户的 Facebook 账户并为特定帖子点赞。

为了避免被发现黑客还对恶意代码进行混淆，解密初始脚本后会下载额外混淆的 JavaScript 脚本，最终的有效负载名为 Trojan.JS.Likejack (由安全公司根据木马类型命名)。

目前尚不清楚这些恶意 SVG 图像是色情网站主动投放的还是遭到黑客入侵，这些网站的特性都是使用 WordPress 系统，不过既然是图像显示到前台，网站管理员应该会发现异常，所以大概率是网站自己投放的。

Malwarebytes 已经开始对这些脚本进行拦截，当用户访问这些网站并点击 SVG 下载 JavaScript 脚本时，Malwarebytes 可以识别到浏览器下载恶意脚本并进行阻断，避免恶意木马进入浏览器并运行。