Nos últimos tempos, vários sites adultos encontraram um jeito criativo (e perigoso) de gerar curtidas no Facebook: escondendo códigos maliciosos (malwares) dentro de imagens SVG. Mas, como assim, uma imagem rodando código?
O Scalable Vector Graphics (.svg) é um formato de imagem que usa texto baseado em XML para definir como a figura aparece. Ao contrário de .jpg ou .png, ele permite redimensionamento sem perder qualidade. O problema? Esse mesmo texto pode incluir HTML e JavaScript, criando brechas para ataques como cross-site scripting, injeção de HTML e até negação de serviço.
O caso ficou conhecido como o do “clicador silencioso”. A empresa de segurança Malwarebytes revelou que alguns sites adultos estavam distribuindo arquivos .svg armadilhados para visitantes selecionados. Ao clicar na imagem, o navegador registrava secretamente curtidas em posts do Facebook promovendo o site, sem que o usuário percebesse.
Desvendar esse ataque não foi fácil, pois o JavaScript estava camuflado usando uma versão customizada do “JSFuck”, que transforma o código em um muro de caracteres praticamente ilegível. Essa técnica mostra como criminosos digitais estão sempre encontrando formas criativas de explorar tecnologias cotidianas.
Fique atento: nem toda imagem é inofensiva e manter o navegador atualizado é fundamental para se proteger de armadilhas escondidas em arquivos aparentemente comuns.
Em resumo, o risco existe, mas a prevenção está ao seu alcance. Conhecer essas ameaças ajuda a navegar com mais segurança e não cair em golpes digitais.
