小心！SVG图像现在正与经过混淆的JavaScript结合使用，通过伪造的电子邮件进行隐秘的重定向攻击。获取Ontinue最新检测与防御研究的见解。

Ontinue高级威胁运营团队的最新研究显示，一种新的网络攻击形式正在兴起，黑客现在使用看似无害的可缩放矢量图形(SVG)图像文件来隐藏恶意代码，突破传统防御。

这种被研究人员称为“SVG走私”的技术，会利用这些通常无害的图像文件，在用户不知情的情况下将其重定向到攻击者控制的网站。Ontinue分享的研究结果强调了这些有针对性的攻击，主要针对B2B服务提供商，包括处理敏感公司数据（例如财务和员工信息）的公司、公用事业公司和SaaS提供商，这些公司由于电子邮件流量大而经常受到攻击。

攻击始于网络犯罪分子精心制作的欺骗性电子邮件，其主题包括“待办事项列表”、“未接来电”或“付款”通知。这些极具欺骗性的钓鱼电子邮件看似来自可信来源或个人，利用了诸如SPF（发件人策略框架）、DKIM（域名密钥识别邮件）和DMARC（基于域名的消息认证、报告和一致性）等薄弱或缺失的安全措施。

这些都是电子邮件身份验证方法，旨在验证电子邮件的合法性，而非伪造。有时，攻击者甚至会使用相似的域名（与合法域名非常相似的网址）来欺骗用户。

恶意SVG文件可以直接附加到电子邮件中，也可以作为外部图像链接。电子邮件本身通常非常简单，以避免引起怀疑，并鼓励收件人打开SVG文件，从而触发隐藏脚本。

攻击者使用临时的、信誉较低的域名及其随机子域名来托管其恶意基础设施，使其难以追踪和阻止。这种不断演变的威胁涉及在SVG文件中嵌入隐藏的、经过混淆的JavaScript代码，通常位于部分代码中。当用户在Web浏览器中打开或预览此类SVG时，隐藏的脚本会静默运行。

该脚本使用静态异或密钥解密其有效载荷，然后使用浏览器内置函数（例如window.location.href（用于更改当前网页地址）和atob() （用于解码加密数据））将受害者发送到欺诈网站。最终的重定向URL通常包含Base64编码的字符串，可能用于受害者追踪或关联。

Ontinue安全专家表示，这种技术通过将有害代码隐藏在图像中来绕过许多常用工具。为了应对这种攻击，企业应激活Microsoft Defender的功能，例如安全链接、安全附件、反钓鱼策略和零时自动清除(ZAP)。通过DMARC、SPF/DKIM校验、阻止SVG附件或内容解除保护来增强电子邮件安全性至关重要。监控相似域名并对用户进行SVG风险教育也是保持安全的关键步骤。

Bambenek Consulting总裁John Bambenek表示： “这是一种利用图像文件传递可疑内容（在本例中为恶意PDF）的全新技术。攻击者必须依靠自满情绪（“这只是一张图片，不会执行代码”）来诱骗组织接受此类内容并将其带入网络内部。”

他补充道：“虽然这份报告和研究对企业很有价值，搜索对搜索团队也很有价值，但没有安全人员或最终消费者的组织仍然容易受到这种技术的传统网络犯罪的攻击。”