Siber Suçlular, Sahte Facebook Paylaşımları Üzerinden SVG Görsellerle Zararlı Yazılım Yaymaya Başladı

Dünya genelinde giderek daha fazla ülke, özellikle yetişkin içerikli web sitelerine erişim için yaş doğrulama zorunluluğu getiriyor. Bu durum, birçok kullanıcının daha küçük, denetimsiz ve güvenlik önlemleri zayıf sitelere yönelmesine neden oluyor. Ancak bu geçiş, siber saldırganların işini kolaylaştırarak zararlı yazılım bulaşma riskini önemli ölçüde artırıyor.

Son dönemde Malwarebytes araştırmacıları, siber suçluların Scalable Vector Graphics (SVG) formatındaki görselleri kullanarak zararlı kodları gizlediğini ortaya çıkardı. Bu yöntem, özellikle Facebook’ta paylaşılan sahte gönderiler üzerinden yayılıyor ve kullanıcıların fark etmeden bilgisayarlarına zararlı yazılım yüklenmesine yol açıyor.

SVG Dosyaları Neden Tehlikeli Olabiliyor?

SVG, JPG veya PNG gibi standart görsel formatlarından farklıdır. XML tabanlı bir dosya yapısına sahiptir ve bu yapı sadece görselleri oluşturmakla kalmaz; aynı zamanda HTML ve JavaScript kodlarını da barındırabilir. Bu özellik, SVG dosyalarının normalde güvenli olarak görülen bir görselden çok daha fazlasını yapabilmesini sağlar.

Siber saldırganlar, bu teknik özelliği kullanarak SVG dosyalarının içine zararlı JavaScript kodları yerleştiriyor. Kullanıcılar bu dosyaları sadece bir resim sanarak açtığında, arka planda gizlenmiş komut dosyaları çalışmaya başlıyor.

Sahte Facebook Paylaşımları ile Yayılıyor

Araştırmalara göre, saldırganlar genellikle yetişkin temalı blog yazılarını veya yapay zeka ile üretilmiş sahte ünlü içeriklerini Facebook’ta paylaşıyor.
Bu gönderilere tıklayan kullanıcılar, bir SVG dosyası indirmeye yönlendiriliyor. Dosya açıldığında, içinde karmaşık biçimde gizlenmiş zararlı JavaScript çalışıyor. Bu kodun amacı genellikle kullanıcıdan habersiz olarak ek zararlı yazılım indirmek ve tarayıcı üzerinde otomatik işlemler yapmak.

Trojan.JS.Likejack: Otomatik Facebook Beğeni Virüsü

SVG dosyasındaki zararlı kod çalıştırıldığında, bilgisayara Trojan.JS.Likejack adı verilen bir kötü amaçlı yazılım yükleniyor. Bu yazılım, eğer kullanıcı Facebook hesabında oturum açmışsa, kendi kendine beğeni (Like) verme işlemleri yapıyor.
Bu sayede saldırganlar, belirli sayfaları veya gönderileri hızlı bir şekilde öne çıkarabiliyor. Facebook’un algoritması bu sahte beğenileri gerçek etkileşim gibi algıladığı için, bu gönderiler organik olarak daha çok kişiye ulaşıyor.

WordPress Tabanlı Sitelerle Ağ Oluşturma

Malwarebytes’ın tespitine göre, bu kampanyada kullanılan birçok web sitesi WordPress tabanlı. Bu siteler birbirine bağlı şekilde çalışarak, ürettikleri sahte beğeniler ve trafik sayesinde sosyal medyada yapay bir popülerlik oluşturuyor.
Facebook, sahte profilleri ve gönderileri engellemeye çalışsa da saldırganlar sürekli olarak yeni sahte hesaplar açıyor ve bu döngü durmadan devam ediyor.

SVG ile Zararlı Yazılım Yayma Yeni Değil Ama Tehlikeli

SVG dosyalarının kötüye kullanılması ilk kez görülen bir durum değil. Daha önce oltalama (phishing), kod enjeksiyonu ve tarayıcı saldırıları gibi birçok siber saldırı türünde de kullanıldılar.
Ancak bu son yöntemin tehlikeli yanı, zararlı kodun çok az karakterle ve karmaşık kodlama teknikleri kullanılarak gizlenmesi. Bu sayede hem antivirüs yazılımlarını atlatabiliyor hem de sosyal medya algoritmalarını manipüle edebiliyor.

Kendinizi Nasıl Koruyabilirsiniz?

• Bilinmeyen kaynaklardan gelen SVG dosyalarını açmayın.

• Facebook veya diğer sosyal medya platformlarında şüpheli linklere tıklamaktan kaçının.

• Güncel antivirüs ve güvenlik yazılımları kullanın.

• Tarayıcı eklentileri ve script engelleyici araçlar (NoScript gibi) kullanarak zararlı JavaScript kodlarının çalışmasını önleyin.

Siber suçlular, kullanıcıların güvenlik zafiyetlerini ve merak duygusunu kullanarak SVG dosyaları üzerinden zararlı yazılım yaymaya devam ediyor. Özellikle sahte Facebook gönderileri ve yetişkin içerik tuzakları, bu saldırıların en yaygın aracı haline gelmiş durumda.