Порносайты стали опаснее вирусов — они превращают каждую картинку в скрытую атаку на ваш компьютер

• 12 августа в 5:40

Как векторная графика превратилась в марионетку киберпреступников.

На десятках зарубежных порносайтов обнаружена новая схема распространения вредоносного кода, замаскированного под изображения в формате .svg. Как выяснили специалисты Malwarebytes, злоумышленники встраивают в такие файлы обфусцированный JavaScript, который при клике на картинку запускает скрытую цепочку скриптов, заканчивающуюся загрузкой Trojan.JS.Likejack.

Этот вредонос незаметно для пользователя нажимает кнопку «Нравится» на заранее заданной публикации в Facebook, если у жертвы в этот момент открыт аккаунт в соцсети. Таким образом, страницы с откровенным контентом получают дополнительный охват и продвижение за счёт компрометированных браузеров.

SVG (Scalable Vector Graphics) отличается от привычных .jpg и .png тем, что хранит данные в виде XML-текста. Это даёт возможность масштабировать изображение без потери качества, но также позволяет встраивать HTML и JavaScript. Такой функционал давно привлекает атакующих, поскольку открывает путь к XSS-атакам, HTML-инъекциям и DoS-атакам. В данном случае авторы вредоносных файлов использовали модифицированную технику JSFuck, которая кодирует JavaScript в набор символов, затрудняя анализ.

После первичного декодирования скрипт подгружает новые фрагменты кода, также скрытые от анализа. Конечная стадия атаки — принудительное взаимодействие с элементами Facebook, что нарушает правила платформы. Facebook блокирует такие аккаунты, но операторы схемы быстро возвращаются с новыми профилями.

Подобные приёмы уже встречались ранее. Так, в 2023 году хакеры уже применяли тег .svg для эксплуатации XSS-уязвимости в веб-клиенте Roundcube, а в июне 2025-го исследователи фиксировали фишинговые атаки с поддельным окном входа Microsoft, также открывавшимся из SVG-файла. Сейчас Malwarebytes связывает выявленные случаи с десятками WordPress-сайтов, распространяющих вредоносный контент подобным образом.