2025 年,网络钓鱼活动发生了重大演变,威胁行为者越来越多地利用非常规文件格式来绕过安全防护解决方案。
一个尤为值得关注的趋势是,可缩放矢量图形(SVG)文件被恶意利用。这些文件中嵌入了恶意的 JavaScript 代码,其目的是将毫无防备的用户重定向到窃取凭据的网站。
这些攻击既利用了 SVG 文件本身固有的灵活性,又成功避开了传统的检测机制,使得威胁行为者能够顺利地将网络钓鱼的有效载荷发送到用户的收件箱中。
SVG 文件通常用于合法的网络图形设计,是一种基于 XML 的格式,能够呈现二维图形。
与传统的图像格式不同,SVG 文件支持嵌入脚本、超链接以及交互元素,这使得它们在合法用途和恶意利用方面都具有很强的通用性。
随着 SVG 文件在网页设计和营销材料中越来越受欢迎,攻击者有了可乘之机,在复杂的网络钓鱼活动中滥用这种文件格式。
Intezer 的研究人员注意到,在 2025 年年初,基于 SVG 文件的攻击显著增多,并记录了多个案例,在这些案例中,这些被恶意利用的文件成功绕过了电子邮件的防护系统。
根据他们的分析,这些恶意的 SVG 文件常常以看似无害的电子邮件附件形式出现,而且不会触发传统安全防护解决方案的警报。
研究团队报告称:“SVG 文件的灵活性使其成为绕过安全过滤器的理想选择,因为许多安全防护解决方案不会对 SVG 文件中嵌入的 JavaScript 代码进行深入检查。”
攻击方法是将经过 Base64 编码的 JavaScript 代码嵌入到 SVG 文件中,通常是在<iframe>或<embed>标签内。
当受害者打开 SVG 文件时,编码后的脚本就会执行,自行解码,并在用户毫无察觉的情况下将其重定向到一个专门用于窃取凭据的网络钓鱼网站。
这种攻击技术特别有效的原因在于,它采用了多层混淆手段,能够使恶意有效载荷躲过静态分析引擎的检测。
最令人担忧的是这些攻击在逃避检测方面的成功率。在多个有记录的案例中,恶意的 SVG 文件在 VirusTotal 上未被检测到任何威胁,这使得它们能够在不触发安全警报的情况下到达目标受害者手中。这种检测漏洞是当前电子邮件和终端安全防护解决方案中的一个重大盲点。
感染机制与混淆技术
基于 SVG 文件的攻击的复杂性体现在其编码和混淆技术上。
在分析样本文件 b5a7406d5b4ef47a62b8dd1e4bec7f1812162433955e3a5b750cc471cbfad93e 时,Intezer 的研究人员发现了一种复杂的多步骤混淆模式,这种模式旨在逃避检测。
恶意有效载荷最初是以<iframe>标签内的 Base64 编码数据形式存在的。
而经过混淆处理的 JavaScript 有效载荷遵循一种复杂的逃避检测模式:
var x3=”w+z-w+z-w+z-aqxm-6zfqx-09z-73xq-7bzqx-31-0qz-dq6-axq-0z3-exqzxq-7ez-3z9-6cx-b8zxq-ac-f3zx”;
x3=x3.replace(/[xqz]/g,””);
var y6=””;
var xp=x3.split(“-“);
for(i=0;i<xp.length;i++){
y6+=String.fromCharCode(parseInt(xp[i],16));
}
window.location=y6;
该脚本采用了多层防护措施:字符串反转、有策略地插入会被程序删除的垃圾字符、通过数学公式将十六进制转换为 ASCII 码,最后是重建 URL,将受害者重定向到一个窃取凭据的页面。
这种复杂的手段确保了传统的静态分析工具无法轻易识别出恶意行为。
为了应对这些威胁,Intezer 开发了专门的分析工具,能够解构这些混淆层。
他们的研究表明,有必要对非常规文件格式进行更深入的检查,并强调了在 2025 年的网络安全环境中,SVG 文件已日益成为一种常见的攻击载体。
发表评论
您还未登录,请先登录。
登录