网络安全专家发现了一种利用SVG（可缩放矢量图形）文件格式的新型钓鱼技术，攻击者通过该技术向不知情的受害者投递恶意HTML内容。

这种于2025年初首次被发现的威胁手段，标志着钓鱼战术的显著升级——攻击者利用SVG文件的双重特性绕过安全防护措施，诱骗用户泄露敏感信息。

SVG图像（来源：Securelist）

与JPEG或PNG等传统图像格式不同，SVG文件采用XML标记语言，支持嵌入JavaScript和HTML代码。

嵌有HTML代码的SVG文件样本（来源：Securelist）

这项原本用于实现交互式图形元素的合法功能，现已被恶意攻击者利用——他们直接在看似无害的图像附件中嵌入钓鱼页面或重定向脚本。

仿冒Google Voice的钓鱼页面（来源：Securelist）

攻击流程分析

此类攻击通常始于包含SVG附件的电子邮件，这些附件被伪装成音频录音或需要签名的文档等无害文件。当用户打开文件时，内嵌代码会立即执行，要么显示包含欺骗性内容的HTML页面，要么通过JavaScript将受害者重定向至仿冒Google Voice或Microsoft登录门户等合法服务的钓鱼网站。

Securelist研究人员发现，2025年3月期间此类攻击显著增加，仅第一季度就记录了2,825封携带SVG附件的恶意邮件。这一上升趋势在4月持续加剧，仅上半月就录得1,324起事件，表明攻击者发现该技术能有效规避现有安全措施。

感染机制解析

安全研究人员在文本编辑器中分析恶意SVG文件时发现，许多文件仅包含极少量矢量图形代码，反而内嵌了完整的HTML文档或JavaScript重定向函数。以下是一个攻击样本展示的标准SVG结构中嵌入的可执行代码：

` String.fromCharCode(HicRzF.charCodeAt(0) + (HiCRzF... ]]>` 

当这种携带脚本的SVG文件在网页浏览器中打开时，代码会立即执行——要么渲染完全包含在文件中的高仿真钓鱼页面，要么连接至用于窃取凭证的外部恶意域名。

该技术之所以特别有效，是因为文件始终保留".svg"扩展名，且在邮件头中被标记为image/svg+xml内容类型，这使得它能绕过主要拦截可执行格式和传统HTML附件的邮件过滤系统。

参考来源：

New Phishing Attack Appending Weaponized HTML Files Inside SVG Files

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）