随着各国对成人网站年龄验证要求的提高，一些小型网站开始利用隐藏恶意软件的SVG图像文件，通过Facebook等社交媒体平台进行推广。网络犯罪分子将恶意代码嵌入SVG文件，利用其XML基础结构支持HTML和JavaScript的能力，规避用户对图像文件的常规警惕。这些隐藏的JavaScript代码一旦被触发，便会下载并安装名为Trojan.JS.Likejack的恶意软件，该软件会秘密操控用户的Facebook账户进行自动“点赞”，从而提升虚假或AI生成内容的曝光度，帮助推广网站。尽管Facebook持续打击虚假账户，但攻击者不断创建新账户，使得彻底阻止此类攻击变得困难。此种利用SVG文件传播恶意软件的手法并非首次出现，但此次攻击因其巧妙的代码隐藏和对社交媒体平台的操纵而备受关注。

**恶意软件伪装成SVG图片传播**：网络犯罪分子利用SVG图像文件（基于XML，可嵌入HTML和JavaScript）作为载体，将恶意代码隐藏其中。由于用户通常认为SVG只是普通图片，容易放松警惕，从而成为攻击目标。

**利用社交媒体平台推广**：攻击者通过在Facebook等平台分享成人主题的博客文章，常伴有虚假或AI生成的名人内容，诱使用户点击并下载SVG图片。一旦SVG文件被打开或交互，其中隐藏的JavaScript便会被触发。

**Trojan.JS.Likejack恶意软件的功能**：被触发的恶意脚本会下载并安装Trojan.JS.Likejack恶意软件，该软件能在用户不知情的情况下，自动“点赞”特定的Facebook帖子或页面，前提是用户已登录Facebook。

**提升网站曝光度与规避检测**：通过生成大量虚假“赞”，这些被操纵的帖子能在Facebook算法中获得更高的曝光度，帮助诈骗者在不支付广告费用的情况下推广其网站。恶意代码还采用混淆技术，仅用少量字符和巧妙编码来规避检测。

**持续的攻击循环与应对挑战**：尽管Facebook积极关闭虚假账户，但攻击者不断创建新账户，形成持续的攻击循环。互联网的匿名性使得彻底阻止这种恶意推广模式面临巨大挑战。

随着越来越多的网站实施年龄验证，许多用户正在迁移到规模较小、监管较少的网站——这无意中增加了他们遭遇恶意软件的风险。网络犯罪分子正利用这一趋势，将恶意代码隐藏在 SVG 图像文件中，这些文件可能会对用户的计算机执行有害操作。

随着越来越多的国家要求对成人网站进行年龄验证，一些小型网站开始利用隐藏的恶意软件来提升其在 Facebook 等社交媒体平台上的知名度。Malwarebytes 的研究人员最近发现，这些恶意软件通常使用一种名为可缩放矢量图形 (SVG) 的图像文件，这种文件可能携带有害代码。

SVG 文件与 JPG 和 PNG 等标准图像格式不同。它们使用 XML，这是一种代码形式，不仅可以渲染图像，还可以包含 HTML 和 JavaScript——这些语言也用于创建动态网站。此功能允许攻击者将恶意软件隐藏在 SVG 图像中。由于许多用户认为 SVG 只是无害的图片，因此他们不会想到这些文件会包含安全威胁。

该骗局的运作方式如下：Facebook 上分享成人主题的博客文章，通常宣传虚假或 AI 生成的名人内容。用户点击这些链接时，可能会被提示下载一个 SVG 图像。打开或与该图像交互会触发嵌入在 SVG 文件中的隐藏 JavaScript 代码。研究人员发现，恶意代码使用一种特殊技术进行混淆，仅需几个字符和巧妙的编码技巧即可掩盖其真实意图，从而规避检测。

一旦触发，隐藏脚本就会从相关网站下载额外的恶意代码。这会导致名为 Trojan.JS.Likejack 的恶意软件安装，该恶意软件会秘密强制用户浏览器“点赞”特定的 Facebook 帖子或页面。这些自动点赞功能会在用户不知情的情况下帮助推广成人内容，但前提是受害者已登录 Facebook。

SVG 文件基于 XML，可以包含 HTML 和 JavaScript，犯罪分子可以利用它们来达到恶意目的。

Malwarebytes 发现，参与此次攻击活动的许多页面都基于 WordPress 构建，并且相互关联。通过生成数百个虚假“赞”，这些帖子在 Facebook 算法中获得了更高的曝光度，帮助诈骗者无需支付广告费用即可推广其网站。

尽管 Facebook 积极尝试关闭这些虚假账户，但骗子仍在不断创建新账户。互联网的匿名性使得彻底阻止这种循环变得十分困难。

一旦 Malwarebytes 了解了该计划，他们就会发现许多 Blogspot[.]com 页面都是其中的一部分。

使用 SVG 文件传播恶意软件并非新招。攻击者此前曾利用它们进行网络钓鱼、脚本攻击和其他黑客攻击。此次最新攻击之所以引人注目，是因为它巧妙地隐藏了有害代码，并操纵社交媒体平台来提升流量和曝光度。