网络钓鱼电子邮件越来越多地使用 SVG 附件来逃避检测

网络钓鱼电子邮件越来越多地使用 SVG 附件来逃避检测
网络钓鱼威胁行为者越来越多地使用可缩放矢量图形 (SVG) 附件来显示网络钓鱼表单或部署恶意软件，同时逃避检测。
网络上的大多数图片都是 JPG 或 PNG 文件，它们由称为像素的微小方格网格组成。每个像素都有特定的颜色值，这些像素一起构成了整个图片。
SVG，即可缩放矢量图形，以不同的方式显示图像，因为它不使用像素，而是通过代码中文本数学公式描述的线条、形状和文本来创建图像。
例如，以下文本将创建一个矩形、一个圆形、一个链接和一些文本：
<svg width="200" height="200" xmlns="http://www.w3.org/2000/svg">
    <!-- A rectangle -->
    <rect x="10" y="10" width="100" height="50" fill="blue" stroke="black" stroke-width="2" />
    <!-- A circle -->
    <circle cx="160" cy="40" r="40" fill="red" />

    <!-- A line -->
    <line x1="10" y1="100" x2="200" y2="100" stroke="green" stroke-width="3" />

    <!-- A text -->
    <text x="50" y="130" font-size="20" fill="black">Hello, SVG!</text>
</svg>
当在浏览器中打开时，该文件将生成上述文本描述的图形。

生成的 SVG 图像
来源：BleepingComputer
由于这些是矢量图像，它们会自动调整大小而不会损失图像质量或形状，使其非常适合在可能具有不同分辨率的浏览器应用程序中使用。

使用 SVG 附件逃避检测
在网络钓鱼活动中使用 SVG 附件并不是什么新鲜事，BleepingComputer 曾报道过它们在之前的Qbot 恶意软件活动中的使用情况，以及作为一种隐藏恶意脚本的方式。

然而，根据安全研究员MalwareHunterTeam的说法，威胁行为者在其网络钓鱼活动中越来越多地使用 SVG 文件，他们与 BleepingComputer 分享了最近的样本 [ 1 , 2 ]。

这些示例以及 BleepingComputer 看到的其他示例说明了 SVG 附件的多功能性，因为它们不仅允许您显示图形，还可以用于显示 HTML（使用 <foreignObject> 元素），并在加载图形时执行 JavaScript。

这使得威胁行为者可以创建 SVG 附件，不仅可以显示图像，还可以创建网络钓鱼表单来窃取凭据。

如下所示，最近的 SVG 附件 [ VirusTotal ] 显示了一个带有内置登录表单的伪 Excel 电子表格，提交后会将数据发送给威胁行为者。

SVG 附件显示了钓鱼表单

来源：BleepingComputer
最近的活动 [ VirusTotal ] 中使用的其他 SVG 附件伪装成官方文件或更多信息请求，提示您单击下载按钮，然后从远程站点下载恶意软件。

用于传播恶意软件的 SVG 附件
来源：BleepingComputer
其他活动利用 SVG 附件和嵌入式 JavaScript，在打开图像时自动将浏览器重定向到托管网络钓鱼表单的网站。

问题在于，由于这些文件大多只是图像的文本表示，因此它们往往不会被安全软件检测到。从 BleepingComputer 看到并上传到 VirusTotal 的样本来看，它们最多被安全软件检测到一两次。