成人色情网站暗藏陷阱！SVG图片被植入恶意代码，可直接劫持你的Facebook！

新西兰网络安全公司 Malwarebytes 近日披露，一些成人色情网站正在针对特定访问者植入恶意代码，以劫持他们的 Facebook 账号。被劫持的账号随后会被用于为某些广告帖子刷点赞，帮助推广内容。虽然劫持社交媒体账号的手法并不新鲜，但这次的攻击更具隐蔽性——攻击者将恶意代码直接嵌入到 SVG（可缩放矢量图形） 文件中，从而绕过常规安全检测，让用户和多数安全软件都难以察觉。SVG 图像为何成为黑客武器？SVG 与常见的 JPG、PNG 不同，它是一种基于 XML 的矢量图像格式，可以无限缩放而不失真。更关键的是，SVG 文件不仅能描述图像形状，还可以嵌入 HTML 和 JavaScript 脚本。这一特性，成为黑客隐藏恶意代码的“完美载体”。攻击流程揭秘Malwarebytes 的调查显示，部分色情网站会通过诱导用户点击 SVG 图片来触发攻击：用户点击图片后，嵌入在 SVG 内的恶意 JavaScript 会立即执行。这些脚本会尝试接管用户的 Facebook 会话权限，从而控制账号。被劫持的账号会自动为指定的广告帖子点赞，帮助其提升曝光量。为了躲避检测，攻击者对恶意代码进行了多...