网络钓鱼电子邮件越来越多地使用 SVG 附件来逃避检测

admin 2024年11月18日23:11:49评论22 views字数 1553阅读5分10秒阅读模式

网络钓鱼电子邮件越来越多地使用 SVG 附件来逃避检测

网络钓鱼电子邮件越来越多地使用 SVG 附件来逃避检测

威胁行为者越来越多地使用可缩放矢量图形 (SVG) 附件来显示网络钓鱼表单或部署恶意软件,同时逃避检测。

网络上的大多数图片都是 JPG 或 PNG 文件,它们由称为像素的微小方格网格组成。每个像素都有特定的颜色值,这些像素一起构成了整个图片。

SVG,即可缩放矢量图形,以不同的方式显示图像,因为它不使用像素,而是通过代码中文本数学公式描述的线条、形状和文本来创建图像。

例如,以下文本将创建一个矩形、一个圆形、一个链接和一些文本:

<svg width="200" height="200" xmlns="http://www.w3.org/2000/svg">
    <!-- A rectangle -->
    <rect x="10" y="10" width="100" height="50" fill="blue" stroke="black" stroke-width="2" />

    <!-- A circle -->
    <circle cx="160" cy="40" r="40" fill="red" />

    <!-- A line -->
    <line x1="10" y1="100" x2="200" y2="100" stroke="green" stroke-width="3" />

    <!-- A text -->
    <text x="50" y="130" font-size="20" fill="black">Hello, SVG!</text>
</svg>

当在浏览器中打开时,该文件将生成上述文本描述的图形。

网络钓鱼电子邮件越来越多地使用 SVG 附件来逃避检测

来源:BleepingComputer

由于这些是矢量图像,它们会自动调整大小而不会损失图像质量或形状,使其非常适合在可能具有不同分辨率的浏览器应用程序中使用。

使用 SVG 附件逃避检测

在网络钓鱼活动中使用 SVG 附件并不是什么新鲜事,BleepingComputer 曾报道过它们在之前的Qbot 恶意软件活动中的使用情况,以及作为一种隐藏恶意脚本的方式。

然而,根据安全研究员MalwareHunterTeam的说法,威胁行为者在其网络钓鱼活动中越来越多地使用 SVG 文件,他们与 BleepingComputer 分享了最近的样本 [ 1 , 2 ]。

这些示例以及 BleepingComputer 看到的其他示例说明了 SVG 附件的多功能性,因为它们不仅允许您显示图形,还可以用于显示 HTML(使用 <foreignObject> 元素),并在加载图形时执行 JavaScript。

这使得威胁行为者可以创建 SVG 附件,不仅可以显示图像,还可以创建网络钓鱼表单来窃取凭据。

如下所示,最近的 SVG 附件 [ VirusTotal ] 显示了一个带有内置登录表单的伪 Excel 电子表格,提交后会将数据发送给威胁行为者。

网络钓鱼电子邮件越来越多地使用 SVG 附件来逃避检测

SVG 附件显示了一个钓鱼表单

来源:BleepingComputer

最近的活动 [ VirusTotal ] 中使用的其他 SVG 附件伪装成官方文件或更多信息请求,提示您单击下载按钮,然后从远程站点下载恶意软件。

网络钓鱼电子邮件越来越多地使用 SVG 附件来逃避检测

用于传播恶意软件的 SVG 附件

来源:BleepingComputer

其他活动利用 SVG 附件和嵌入式 JavaScript,在打开图像时自动将浏览器重定向到托管网络钓鱼表单的网站。

问题在于,由于这些文件大多只是图像的文本表示,因此它们往往不会被安全软件检测到。从 BleepingComputer 看到并上传到 VirusTotal 的样本来看,它们最多被安全软件检测到一两次。

话虽如此,接收 SVG 附件对于合法电子邮件来说并不常见,应立即引起怀疑。

除非您是开发人员并希望收到这些类型的附件,否则删除任何包含它们的电子邮件会更安全。

原文始发于微信公众号(Ots安全):网络钓鱼电子邮件越来越多地使用 SVG 附件来逃避检测

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月18日23:11:49
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络钓鱼电子邮件越来越多地使用 SVG 附件来逃避检测https://cn-sec.com/archives/3407237.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息