网络安全专家发现了一种利用SVG(可缩放矢量图形)文件格式的新型钓鱼技术,攻击者通过该技术向不知情的受害者投递恶意HTML内容。
这种于2025年初首次被发现的威胁手段,标志着钓鱼战术的显著升级——攻击者利用SVG文件的双重特性绕过安全防护措施,诱骗用户泄露敏感信息。
SVG图像(来源:Securelist)
与JPEG或PNG等传统图像格式不同,SVG文件采用XML标记语言,支持嵌入JavaScript和HTML代码。
嵌有HTML代码的SVG文件样本(来源:Securelist)
这项原本用于实现交互式图形元素的合法功能,现已被恶意攻击者利用——他们直接在看似无害的图像附件中嵌入钓鱼页面或重定向脚本。
仿冒Google Voice的钓鱼页面(来源:Securelist)
攻击流程分析
此类攻击通常始于包含SVG附件的电子邮件,这些附件被伪装成音频录音或需要签名的文档等无害文件。当用户打开文件时,内嵌代码会立即执行,要么显示包含欺骗性内容的HTML页面,要么通过JavaScript将受害者重定向至仿冒Google Voice或Microsoft登录门户等合法服务的钓鱼网站。
Securelist研究人员发现,2025年3月期间此类攻击显著增加,仅第一季度就记录了2,825封携带SVG附件的恶意邮件。这一上升趋势在4月持续加剧,仅上半月就录得1,324起事件,表明攻击者发现该技术能有效规避现有安全措施。
感染机制解析
安全研究人员在文本编辑器中分析恶意SVG文件时发现,许多文件仅包含极少量矢量图形代码,反而内嵌了完整的HTML文档或JavaScript重定向函数。以下是一个攻击样本展示的标准SVG结构中嵌入的可执行代码:
` String.fromCharCode(HicRzF.charCodeAt(0) + (HiCRzF... ]]>`
当这种携带脚本的SVG文件在网页浏览器中打开时,代码会立即执行——要么渲染完全包含在文件中的高仿真钓鱼页面,要么连接至用于窃取凭证的外部恶意域名。
该技术之所以特别有效,是因为文件始终保留".svg"扩展名,且在邮件头中被标记为image/svg+xml内容类型,这使得它能绕过主要拦截可执行格式和传统HTML附件的邮件过滤系统。
来源:https://www.freebuf.com/ 感谢【AI小蜜蜂】
原文始发于微信公众号(船山信安):新型钓鱼攻击:SVG文件中植入恶意HTML文件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论