网络钓鱼电子邮件越来越多地使用 SVG 附件来逃避检测

2024-11-18 14:06:07 0 1654

网络钓鱼电子邮件越来越多地使用 SVG 附件来逃避检测



网络钓鱼电子邮件越来越多地使用 SVG 附件来逃避检测
网络钓鱼威胁行为者越来越多地使用可缩放矢量图形 (SVG) 附件来显示网络钓鱼表单或部署恶意软件,同时逃避检测。
网络上的大多数图片都是 JPG 或 PNG 文件,它们由称为像素的微小方格网格组成。每个像素都有特定的颜色值,这些像素一起构成了整个图片。
SVG,即可缩放矢量图形,以不同的方式显示图像,因为它不使用像素,而是通过代码中文本数学公式描述的线条、形状和文本来创建图像。
例如,以下文本将创建一个矩形、一个圆形、一个链接和一些文本:
<svg width="200" height="200" xmlns="http://www.w3.org/2000/svg">
    <!-- A rectangle -->
    <rect x="10" y="10" width="100" height="50" fill="blue" stroke="black" stroke-width="2" />
    <!-- A circle -->
    <circle cx="160" cy="40" r="40" fill="red" />

    <!-- A line -->
    <line x1="10" y1="100" x2="200" y2="100" stroke="green" stroke-width="3" />

    <!-- A text -->
    <text x="50" y="130" font-size="20" fill="black">Hello, SVG!</text>
</svg>
当在浏览器中打开时,该文件将生成上述文本描述的图形。

生成的 SVG 图像
来源:BleepingComputer
由于这些是矢量图像,它们会自动调整大小而不会损失图像质量或形状,使其非常适合在可能具有不同分辨率的浏览器应用程序中使用。

使用 SVG 附件逃避检测
在网络钓鱼活动中使用 SVG 附件并不是什么新鲜事,BleepingComputer 曾报道过它们在之前的Qbot 恶意软件活动中的使用情况,以及作为一种隐藏恶意脚本的方式。

然而,根据安全研究员MalwareHunterTeam的说法,威胁行为者在其网络钓鱼活动中越来越多地使用 SVG 文件,他们与 BleepingComputer 分享了最近的样本 [ 1 , 2 ]。

这些示例以及 BleepingComputer 看到的其他示例说明了 SVG 附件的多功能性,因为它们不仅允许您显示图形,还可以用于显示 HTML(使用 <foreignObject> 元素),并在加载图形时执行 JavaScript。

这使得威胁行为者可以创建 SVG 附件,不仅可以显示图像,还可以创建网络钓鱼表单来窃取凭据。

如下所示,最近的 SVG 附件 [ VirusTotal ] 显示了一个带有内置登录表单的伪 Excel 电子表格,提交后会将数据发送给威胁行为者。

SVG 附件显示了钓鱼表单

来源:BleepingComputer
最近的活动 [ VirusTotal ] 中使用的其他 SVG 附件伪装成官方文件或更多信息请求,提示您单击下载按钮,然后从远程站点下载恶意软件。

用于传播恶意软件的 SVG 附件
来源:BleepingComputer
其他活动利用 SVG 附件和嵌入式 JavaScript,在打开图像时自动将浏览器重定向到托管网络钓鱼表单的网站。

问题在于,由于这些文件大多只是图像的文本表示,因此它们往往不会被安全软件检测到。从 BleepingComputer 看到并上传到 VirusTotal 的样本来看,它们最多被安全软件检测到一两次。

关于作者

Zxt8411041篇文章1篇回复

评论0次

要评论?请先  登录  或  注册