新型SVG网络钓鱼活动暗藏危机
我们过去曾报道过网络犯罪分子使用SVG文件进行网络钓鱼和点击劫持活动。最近我们发现了一个涉及网络钓鱼的SVG文件,其复杂程度相当高。
对于错过之前文章的读者,SVG文件并不总是简单的图像文件。由于它们是用XML(可扩展标记语言)编写的,因此可以包含HTML和JavaScript代码,网络犯罪分子可利用这些代码进行恶意活动。
对钓鱼者来说,另一个优势是:在Windows计算机上,SVG文件会通过Microsoft Edge打开,无论您的默认浏览器是什么。由于大多数人更喜欢使用其他浏览器(例如Chrome),因此在添加广告拦截器和网络过滤器等保护措施时,Edge往往容易被忽略。
我们发现的恶意SVG使用了一种相当不寻常的方法将目标引导至钓鱼网站。
在RECElPT.SVG文件中,我们发现了一个包含大量食物/食谱相关名称(“menuIngredients”、“bakingRound”、“saladBowl”等)的脚本,这些名称都只是用来混淆代码恶意意图的创意伪装。
这是钓鱼者隐藏重定向代码的部分:
|
|
仔细观察后,可食用的食谱假象很快消失。谁会需要141杯鸡蛋呢?
通过解析代码,我们注意到解码器的工作方式如下:
- 在给定文本中搜索 data-ingredients="…"
- 按逗号分割属性内的字符串以获得列表,例如:219cups_flour, 205tbsp_eggs,…
- 对每个元素提取前导数字值(例如从219cups_flour中提取219)
- 从该值中减去100
- 如果结果是ASCII可打印字符(范围32-126),则将其转换为该数字对应的字符
- 将所有字符连接起来形成最终的解码字符串
使用此方法,我们得到了:window.location.replace("https://outuer.devconptytld[.]com.au/")
window.location.replace 是一个JavaScript方法,用于将当前资源替换为指定URL处的资源。换句话说,如果目标打开SVG文件,它会将目标重定向到该位置。
重定向后,用户将看到以下提示,这基本上是为了隐藏Cloudflare服务背后的服务器真实位置,同时也为访问者提供一定的合法性感知:
|
|
无论用户在此处执行什么操作,他们都会通过代码将e参数(目标的电子邮件地址)传递到下一个目的地而再次被转发。
但这就是我们冒险结束的地方。对我们来说,下一个网站是空白的。
我们无法确定需要满足什么条件才能进入网络钓鱼活动的下一阶段。但很可能会显示一个伪造的登录表单(几乎肯定是Microsoft 365或Outlook主题),以捕获目标的用户名和密码。
微软标记了一个类似的活动,该活动明显通过AI辅助进行了混淆,并且乍一看更加合法。
我们想分享关于此活动的一些说明:
- 我们发现了可追溯到2025年8月26日的多个SVG文件版本
- 攻击非常有针对性,目标的电子邮件地址嵌入在SVG文件中
- 钓鱼域名可能是合法devconptyltd.com.au的误植域名,这可能意味着目标与拥有该域名的Devcon Pty Ltd有业务往来。这是我们在商业电子邮件入侵(BEC)攻击中经常看到的策略
- 我们发现了与此活动相关的devconptytld[.]com.au的几个子域名。该域名的TLS证书可追溯到2025年8月24日,有效期为3个月
如何防范SVG网络钓鱼攻击
SVG文件是不常见的附件类型,因此请记住:
- 它们并不总是“仅仅”图像文件
- 多个网络钓鱼和恶意软件活动使用SVG文件,因此它们应受到与任何其他附件相同的对待:在可信发送者确认发送之前不要打开
- 始终检查要求凭据的网站地址。或者使用密码管理器,它们不会在虚假网站上自动填充您的详细信息
- 使用实时反恶意软件保护,最好带有网络保护组件。Malwarebytes会阻止与此活动相关的域名
- 使用能够检测和隔离可疑附件的电子邮件安全解决方案