SVG文件中的恶意HTML钓鱼攻击技术分析

1. 攻击概述

网络安全专家在2025年初发现了一种新型钓鱼技术，攻击者利用SVG(可缩放矢量图形)文件格式向受害者投递恶意HTML内容。这种攻击手段标志着钓鱼战术的显著升级，通过SVG文件的双重特性绕过安全防护措施。

2. SVG文件特性被利用

SVG(可缩放矢量图形)文件与JPEG或PNG等传统图像格式不同：

• 采用XML标记语言
• 支持嵌入JavaScript和HTML代码
• 原本用于实现交互式图形元素的合法功能
• 现被恶意攻击者利用来嵌入钓鱼页面或重定向脚本

3. 攻击流程

1. 初始接触：攻击者发送包含SVG附件的电子邮件
2. 伪装手段：附件被伪装成：
   • 音频录音
   • 需要签名的文档
   • 其他看似无害的文件类型
3. 执行阶段：当用户打开文件时：
   • 内嵌代码立即执行
   • 可能显示包含欺骗性内容的HTML页面
   • 或通过JavaScript将受害者重定向至钓鱼网站
4. 目标网站：常仿冒知名服务如：
   • Google Voice
   • Microsoft登录门户
   • 其他合法服务

4. 攻击规模统计

• 2025年3月期间攻击显著增加
• 第一季度记录2,825封携带SVG附件的恶意邮件
• 4月上半月录得1,324起事件
• 攻击频率持续加剧

5. 技术分析

5.1 文件结构

安全研究人员发现恶意SVG文件具有以下特征：

• 仅包含极少量矢量图形代码
• 内嵌完整的HTML文档
• 或包含JavaScript重定向函数

5.2 代码示例

攻击样本展示的标准SVG结构中嵌入的可执行代码特征：

String.fromCharCode(HicRzF.charCodeAt(0) + (HiCRzF...

5.3 执行机制

当携带脚本的SVG文件在网页浏览器中打开时：

1. 代码立即执行
2. 可能渲染完全包含在文件中的高仿真钓鱼页面
3. 或连接至用于窃取凭证的外部恶意域名

6. 攻击有效性原因

该技术特别有效的原因：

1. 文件扩展名：始终保留".svg"扩展名
2. 内容类型：在邮件头中被标记为image/svg+xml
3. 绕过机制：
   • 能绕过拦截可执行格式的邮件过滤系统
   • 能绕过拦截传统HTML附件的安全措施

7. 防御措施

7.1 用户防护

1. 对来源不明的SVG附件保持警惕
2. 即使来自"可信"来源的SVG文件也要谨慎处理
3. 避免直接在浏览器中打开可疑SVG文件

7.2 组织防护

1. 更新邮件过滤规则，增加对SVG内容的检测
2. 实施内容检测策略，扫描SVG文件中的可疑代码
3. 考虑限制SVG附件的接收或强制沙箱环境打开

7.3 技术防护

1. 部署能够解析SVG内容的安全解决方案
2. 实施行为检测机制，识别异常的重定向行为
3. 保持浏览器和安全软件的最新更新

8. 检测方法

1. 使用文本编辑器检查SVG文件内容
2. 查找异常的大量HTML或JavaScript代码
3. 检查是否存在外部域名连接
4. 使用专业安全工具进行静态和动态分析

9. 总结

这种新型钓鱼攻击利用SVG文件格式的特性，通过嵌入恶意HTML和JavaScript代码，成功绕过传统安全防护措施。随着攻击频率的持续上升，组织和个人都需要提高警惕，采取适当的防护措施来应对这一威胁。