Вредонос в картинке: SVG-файлы используют для скрытой накрутки лайков в Facebook*

Специалисты Malwarebytes обнаружили новый способ распространения трояна Trojan.JS.Likejack — через специально подготовленные изображения в формате SVG. Такой файл выглядит как обычная картинка, но внутри содержит код, способный выполнять скрытые действия от имени пользователя.

SVG — это векторный формат, который поддерживается большинством браузеров и часто воспринимается как безопасный. Однако, в отличие от JPG или PNG, он может включать HTML- и JavaScript-код. Это позволяет злоумышленникам внедрять в изображения вредоносные сценарии, используя, например, технологии XSS или HTML-инъекций.

При открытии такого файла браузер автоматически подгружает дополнительный скрипт с внешнего сервера, который активирует Trojan.JS.Likejack. Вредонос начинает ставить отметки «нравится» в Facebook* под заранее выбранными публикациями, но только если у пользователя открыт и авторизован аккаунт в этой соцсети. По данным Malwarebytes, вредоносные изображения распространяются через сайты, размещённые на платформе Blogger (blogspot[.]com).

Эксперты отмечают, что распознать угрозу непросто — код в SVG-файле часто зашифрован с помощью обфускации JSFuck. Подобный вектор атак уже использовался для распространения других вредоносов, например, GUIloader. Специалисты «Газинформсервиса» предупреждают: в 2025 году выросло число атак, где вредоносный HTML-код маскируется под изображения. Пользователей могут заманивать предложением «прослушать аудиосообщение» или «проверить электронную подпись», ведущее на фальшивую страницу входа в сервисы Google или Microsoft.

* принадлежит корпорации Meta, признанной в РФ экстремистской и запрещённой.