SVG網絡釣魚攻擊在2025年激增，利用圖像文件

安全研究人員正在跟踪網絡釣魚活動的顯著增加，這些活動巧妙地將可擴展的矢量圖形（SVG）圖像文件武器化，以提供惡意的有效載荷並竊取憑據。

在安全公司之間形成了共識，包括Kaspersky, Trustwave, and sophos ，這些攻擊在2024年末開始的這些攻擊急劇上升，並在2025年的第一季度加速了這一趨勢範圍。

卡巴斯基僅在2025年1月至3月之間使用這種方法檢測到了2,825封電子郵件，並且數量持續攀升至4月。獨立發現證實了這一點； Knowbe4在第二季度2024年至2025年3月之間，惡意SVG的使用率增加了245％，而Trustwave報告說，與以前的水平相比，2025年初的增長率為1800％。

SVG如何成為武器

與主要存儲像素數據的標準柵格圖像格式（例如JPEG或PNG）不同，SVG是基於XML的文檔。這種基於文本的結構旨在定義向量形狀和路徑，至關重要的是，它們可以包含嵌入式腳本和其他內容，包括JavaScript和完整的HTML文檔（通常使用標籤實現）。這種功能旨在進行合法的網絡設計和互動性，正在積極濫用。

攻擊者製作惡意的SVG文件，經常在電子郵件中掩飾它們，因為需要簽名，語音郵件通知甚至電子表格的無害文檔需要簽名文件。當受害者打開附加的SVG文件時（通常由Web瀏覽器處理，該文件可以解釋XML和任何嵌入式腳本-惡意代碼執行。 SVGFILE通常在安全掃描平台上實現較低的檢測率，使其成為攻擊者的吸引力。

攻擊方法和示例

攻擊者已經證明了兩種主要方法。在某些廣告系列中，例如一個模仿Kaspersky詳細介紹的Google語音，SVG文件本身包含網絡釣魚頁面的完整HTML代碼，在打開時在瀏覽器中直接在瀏覽器中呈現假貨。 Kaspersky觀察到的其他攻擊將JavaScript嵌入了SVG。

該腳本在打開文件時執行，將用戶的瀏覽器自動將用戶的瀏覽器重定向到外部，攻擊者控制的網絡釣魚站點，經常是一個funeroft microsoft登錄頁面。 2025年2月記錄了一項這樣的中型對手（AITM）運動，SVG最初僅顯示藍色的核心標記圖像，然後通過虛假的安全提示重定向到與目標公司品牌的個性化的憑據收穫頁面。存在多因素身份驗證。

逃避策略和攻擊者基礎架構

使用SVG文件給尋求逃避檢測的攻擊者提供了一些優勢。因為文件的技術MIME類型是image/svg+xml，所以它可以繞過電子郵件網關和安全過濾器，主要配置為審查更傳統的風險附件類型，例如可執行文件或某些文檔格式。

svgs通常會被這種過濾器忽略 對傳統的防禦構成挑戰，對傳統的防禦構成挑戰。攻擊者使用多態性（隨機）文件名以及從先前妥協的合法帳戶發送電子郵件以通過發送者身份驗證檢查（如DMARC，SPF和DKIM）（旨在防止電子郵件欺騙的標準）來進一步提高逃避逃避。混淆方法，例如 base64編碼用於嵌入式腳本用於嵌入式腳本（一種以ASCII字符串形式代表二進制數據的方式），並在phsing element element element element SVG網絡釣魚的激增也與專門從事AITM攻擊的網絡釣魚-As-Service（PHAAS）平台的擴散有關。 These platforms offer ready-made kits that simplify the process of launching sophisticated phishing campaigns.

Trustwave SpiderLabs連接上升到Tycoon2FA，Mamba2fa和Sneaky2FA等套件，它們為攻擊者提供了部署這些複雜活動的工具，包括使用SVG附件用於初步重新定位。這種隨時可用的基礎設施降低了進行複雜的網絡釣魚操作的進入的障礙。

在脆弱環境中，威脅日益增長的威脅

這種SVG技術代表了攻擊者和後備者之間正在進行的戰鬥中的最新改編，從而在通常惡化的播放滅火環境中到達。 Netskope的分析大約2024年表明，與2023年相比，單擊網絡釣魚鏈接的可能性增加了三倍，每月每月每月2.9點擊到8.4點。

netskope的報告歸因於這種脆弱性，部分地歸因於“認知疲勞（用戶不斷地轟炸”的攻擊者，與範圍的攻擊性相同”，這是“差異”的攻擊性。誘餌。”該報告還強調了攻擊者使用諸如Wormgpt和欺詐的生成AI工具來創建更具說服力的誘餌。

，而SVG網絡釣魚是廣泛使用的相對較新的趨勢，但SVG腳本功能的利用並不完全是新穎的； cisco talos> cisco talos Qakbot惡意軟件活動在2022年使用SVGS嵌入html smerlage sms sm sms smperlage

但是，當前的浪潮直接集中在憑證盜竊上，通常針對流行的雲服務。 Microsoft 365 was the top target in Netskope’s 2024 data (42%), followed by Adob​​e Document Cloud (18%) and DocuSign (15%), aligning with the types of fake login pages seen in recent SVG campaigns.

Kaspersky researchers caution that while current SVG attacks are often functionally similar to basic HTML attachment phishing, “the use of SVG as a container for惡意內容也可以用於更複雜的目標攻擊中。”如先前根據FORTRA發現所報導的那樣，濫用Cloudflare等受信任平台託管網絡釣魚基礎架構也仍然是一個相關的關注點。 Fortra的Zachary Travis指出:“這些平台不僅用於託管令人信服的網站，而且還將其重定向到其他惡意網站。”