在这个以图像为信息或娱乐媒介的世界里,一种新型的网络钓鱼攻击正利用图像进行欺骗和窃取。Trustwave SpiderLabs 最近的一份报告显示,使用 SVG(可缩放矢量图形)文件作为投递媒介的网络钓鱼攻击激增了 1,800%。这些轻量级、看似无害的图像文件正成为网络犯罪分子窃取凭证、投递恶意软件和绕过多因素身份验证的常用工具。
SVG 文件在网络上广泛用于制作清晰的图标和徽标。与 PNG 或 JPEG 格式不同,SVG 基于 XML,可以嵌入 JavaScript,从而允许其承载交互式代码(在本例中为恶意脚本)。
网络犯罪分子利用可缩放矢量图形(SVG)文件的特性,直接将恶意脚本嵌入其中,借此达成未经授权访问系统、窃取数据以及泄露身份等恶意目的。由于 SVG 文件可由浏览器原生渲染,且多数电子邮件客户端不会对其进行扫描或隔离处理,这种天然的安全盲区使其成为网络钓鱼的绝佳载体。
在某次攻击事件中,攻击者模仿 Microsoft Teams 语音邮件通知发送钓鱼邮件,邮件外观逼真,诱导用户下载名为音频附件的恶意.svg 文件。尽管该文件后缀为.svg,却被伪装成语音消息样式。一旦用户点击,文件中嵌入的重定向代码便会自动执行,将用户导向精心伪造的 Office 365 登录页面,进而实施诈骗。
该脚本使用 SVG <foreignObject> 标签和 base64 混淆技术,绕过了传统的电子邮件安全工具。打开后,图像会呈现伪造的 Microsoft 徽标,并将受害者重定向到凭证窃取页面。
此次活动与 Mamba2FA 有关,Mamba2FA 是一个以能够绕过 MFA 保护而闻名的网络钓鱼即服务 (PhaaS) 组织。
基于 SVG 的网络钓鱼现在由复杂的网络钓鱼即服务平台提供支持
-
Tycoon2FA
-
Mamba2FA
-
Sneaky2FA
这些工具包使攻击者能够
-
将多层混淆脚本嵌入 SVG
-
进行中间人攻击(AiTM)网络钓鱼
-
将用户重定向到绕过 MFA 并获取凭据的页面
报告总结道: “ SVG 网络钓鱼的兴起表明,威胁行为者正在不断扩展其绕过安全措施的策略,而不仅仅是二维码和传统方法,包括链接、HTML 和基于文档的攻击。
原文始发于微信公众号(TtTeam):SVG 网络钓鱼激增:图像文件如何被利用来窃取凭证
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论