Alcuni siti per adulti hanno trovato un modo alternativo per incrementare i guadagni, considerato che la verifica dell’età (obbligatoria in diversi paesi) potrebbe causare una diminuzione dei visitatori. Sfruttando immagini in formato SVG viene eseguito uno script che simula un like sui post Facebook all’insaputa dell’utente.

Trojan clickjacking per Facebook

Gli esperti di Malwarebytes hanno notato numerosi post su Facebook che pubblicizzano siti per adulti, molti dei quali promettono immagini esplicite di persone famose (anche quelle generate con l’intelligenza artificiale). Solitamente gli utenti non mettono like a questo tipo di post perché è possibile leggere il loro nome. Nonostante ciò, alcuni post hanno molti “mi piace”. Ciò permette di incrementare la visibilità nei feed e i profitti dalle entrate pubblicitarie.

I ricercatori di Malwarebytes hanno trovato il “trucco” sfruttato per generare like all’insaputa degli utenti. Quando questi ultimi visitano il sito per adulti, sui loro dispositivi viene scaricata un’immagine in formato SVG. I file SVG sono scritti in XML, quindi contengono codice HTML e JavaScript.

Sfruttando una tecnica di offuscamento, nota come JSFuck, quando l’utente clicca sull’immagine SVG vengono scaricati altri script, l’ultimo dei quali è Trojan.JS.Likejack. Si tratta di un clickjack trojan che simula il clic sul pulsante Like (Mi piace) dei post che pubblicizzano i siti per adulti su Facebook.

Il like viene aggiunto solo se gli utenti hanno effettuato l’accesso al social network, ma molti utenti rimangono collegati per non dover inserire le credenziali di login ogni volta. Malwarebytes ha individuato numerosi siti per adulti che sfruttano le immagini SVG per ottenere like fasulli. Meta chiude spesso gli account dei truffatori, ma subito ritornano con altri account.