점점 더 많은 웹사이트에서 연령 확인을 구현함에 따라 많은 사용자가 규모가 작고 규제가 덜한 사이트로 이동하고 있으며 이로 인해 의도치 않게 맬웨어에 노출될 위험이 높아집니다. 사이버 범죄자들은 잠재적으로 사용자의 컴퓨터에 유해한 작업을 수행할 수 있는 악성 코드를 SVG 이미지 파일 내에 숨김으로써 이러한 추세를 이용하고 있습니다.
점점 더 많은 국가에서 성인 웹사이트에 대한 연령 확인을 요구함에 따라 일부 소규모 사이트에서는 Facebook과 같은 소셜 미디어 플랫폼에서 가시성을 높이기 위해 숨겨진 악성 코드를 악용하기 시작했습니다. Malwarebytes의 연구원들은 최근 이러한 악성 코드가 유해한 코드를 전달할 수 있는 SVG(Scalable Vector Graphics)라는 이미지 파일 유형을 사용하는 경우가 많다는 사실을 발견했습니다.
SVG 파일은 JPG, PNG 등의 표준 이미지 형식과 다릅니다. 그들은 이미지를 렌더링할 수 있을 뿐만 아니라 동적 웹사이트를 만드는 데 사용되는 언어인 HTML과 JavaScript도 포함할 수 있는 코드 형태인 XML을 사용합니다. 이 기능을 사용하면 공격자는 SVG 이미지 내에 악성 코드를 숨길 수 있습니다. 많은 사용자는 SVG를 무해한 이미지로 생각하기 때문에 이러한 파일에 보안 위협이 포함될 수 있다고 생각하지 않습니다.
사기 방식은 다음과 같습니다. 성인용 블로그 게시물은 Facebook에서 공유되며 종종 가짜 또는 AI로 생성된 유명인 콘텐츠를 홍보합니다. 사용자가 이러한 링크를 클릭하면 SVG 이미지를 다운로드하라는 메시지가 표시될 수 있습니다. 이 이미지를 열거나 상호 작용하면 SVG 파일에 포함된 숨겨진 JavaScript 코드가 트리거됩니다. 연구원들은 악성 코드가 실제 의도를 가리기 위해 몇 개의 문자와 영리한 코딩 트릭이 필요한 특수 기술을 사용하여 난독화되어 탐지를 회피한다는 사실을 발견했습니다.
숨겨진 스크립트가 실행되면 해당 웹사이트에서 추가 악성코드를 다운로드합니다. 이로 인해 사용자 브라우저가 비밀리에 특정 Facebook 게시물이나 페이지에 "좋아요"를 표시하도록 하는 Trojan.JS.Likejack이라는 악성 코드가 설치됩니다. 이러한 자동화된 좋아요는 사용자 모르게 성인 콘텐츠를 홍보하는 데 도움이 되지만 피해자가 Facebook에 로그인한 경우에만 가능합니다.
SVG 파일은 XML을 기반으로 하며 범죄자가 악의적인 목적으로 악용할 수 있는 HTML 및 JavaScript를 포함할 수 있습니다.
Malwarebytes는 이 캠페인과 관련된 많은 페이지가 WordPress를 기반으로 구축되었으며 서로 관련되어 있음을 발견했습니다. 수백 개의 가짜 "좋아요"를 생성함으로써 이러한 게시물은 Facebook 알고리즘에서 더 높은 가시성을 확보하여 사기꾼이 광고비를 지불하지 않고도 사이트를 홍보할 수 있도록 돕습니다.
Facebook은 이러한 가짜 계정을 적극적으로 폐쇄하려고 시도하지만 사기꾼들은 계속해서 새 계정을 만듭니다. 인터넷의 익명성으로 인해 이러한 순환을 완전히 멈추기는 어렵습니다.
Malwarebytes는 이 계획에 대해 알게 된 후 많은 Blogspot[.]com 페이지가 이 계획의 일부라는 사실을 발견했습니다.
SVG 파일을 사용하여 악성 코드를 확산시키는 것은 새로운 것이 아닙니다. 공격자들은 이전에 피싱, 스크립팅 및 기타 해킹 공격에 이를 사용했습니다. 이 최신 공격은 유해한 코드를 교묘하게 숨기고 소셜 미디어 플랫폼을 조작하여 트래픽과 가시성을 높인다는 점에서 주목할 만합니다.