Sophos 公司发现了一种新型网络钓鱼技术,该技术利用可缩放矢量图形(SVG)文件绕过反垃圾邮件和反网络钓鱼防护机制,使攻击者能够传播恶意链接,进而窃取用户凭证。据 Sophos 称,“通过电子邮件实施网络钓鱼攻击的犯罪分子,越发频繁地滥用一种旨在绕过现有反垃圾邮件和反网络钓鱼防护的新威胁载体:使用一种名为 SVG 的图形文件格式。”SVG 文件通常用于基于矢量的图像,可在任何现代网页浏览器中读取。与 JPEG 或 PNG 等传统图像格式不同,SVG 文件包含基于文本的 XML 指令,其中可包括超链接、脚本和其他活动网页元素。Sophos 的研究人员发现,网络钓鱼电子邮件中的恶意 SVG 附件不仅包含简单图形,还含有指向外部网络钓鱼页面的锚标签。Sophos 解释称:“攻击中使用的 SVG 文件包含一些绘制非常简单形状(如矩形)的指令,但同时也包含一个指向其他地方托管网页的锚标签。”当毫无防备的用户双击 SVG 电子邮件附件时,该文件会在其默认网页浏览器中自动打开,同时加载矢量图像和恶意链接。如果受害者点击嵌入的链接,就会被重定向到一个伪装成合法登录门户的凭证收集网站。攻击者在网络钓鱼电子邮件中使用精心设计的社会工程诱饵,诱使收件人打开恶意 SVG 附件。这些邮件冒充知名品牌,如 DocuSign、微软 SharePoint、Dropbox 和谷歌语音,以提高其可信度。Sophos 指出:“许多知名品牌和在线服务都遭到这些攻击的滥用,包括 DocuSign、微软 SharePoint、Dropbox、谷歌语音和 RingCentral。”Sophos 的研究人员观察到越来越复杂的 SVG 网络钓鱼攻击,包括:Cloudflare 验证码关卡 —— 受害者在被重定向到实际的网络钓鱼页面之前,需要 “证明自己是人”,这使得自动化安全扫描无效。凭证预填充 —— 网络钓鱼页面会自动填充受害者的电子邮件地址,使其看起来合法。实时网络钓鱼模板 —— 攻击者在 SVG 文件中嵌入实时链接,指向动态生成的虚假登录页面,常冒充微软 365 或 Dropbox。JavaScript 自动重定向 —— 在某些情况下,SVG 文件无需点击即可自动加载网络钓鱼页面。Sophos 警告称:“这些网络钓鱼页面均托管在攻击者控制的域名上,…… 几乎所有页面都设有 Cloudflare 验证码关卡,以防止自动访问。”随着时间推移,这些攻击的复杂程度不断提高,攻击者不断完善其方法,使其看起来更具说服力。研究人员还发现了针对特定目标用户语言设计的本地化网络钓鱼页面。Sophos 指出:“我们最终发现了针对不同语言的版本,这取决于收件人的顶级域名。例如,发送给日本学术机构目标对象的电子邮件及其嵌入的 SVG 均为日语制作。”
