随着时间的推移，网络钓鱼攻击的技术越来越精妙，旨在欺骗用户并规避安全措施。攻击者会使用欺骗性的 URL 重定向策略，例如将恶意网站地址附加到看似安全的链接后，在 PDF 中嵌入链接，以及发送HTML 附件（这些附件要么包含整个钓鱼网站，要么使用 JavaScript 启动钓鱼网站）。最近，我们注意到一种新趋势：攻击者正在以 SVG 格式（通常用于存储图像的格式）分发附件。

SVG 格式

SVG（可缩放矢量图形）是一种使用 XML 描述二维矢量图形的格式。SVG 文件在图像查看软件中打开时会显示如下内容。

SVG图像

但是，如果你在文本编辑器中打开它，你就可以看到描述图像的 XML 标记。这种标记可以轻松编辑图像参数，从而无需使用资源密集型的图形编辑器。

这是在文本编辑器中打开的 SVG 文件的样子

由于 SVG 基于 XML，因此与 JPEG 或 PNG 不同，它支持 JavaScript 和 HTML。这使得设计人员可以更轻松地处理文本、公式和交互元素等非图形内容。然而，攻击者利用了这一点，在图像文件中嵌入带有钓鱼页面链接的脚本。

嵌入 HTML 代码的 SVG 文件示例。该标签引入了 HTML 标记

利用 SVG 文件的网络钓鱼电子邮件活动

2025 年初，我们观察到网络钓鱼电子邮件类似于带有 HTML 附件的攻击，但使用的是 SVG 文件。

带有 SVG 附件的网络钓鱼电子邮件

查看电子邮件的源代码表明，附件被识别为图像类型。

电子邮件正文中显示的文件

然而，在文本编辑器中打开该文件后发现，它本质上是一个 HTML 页面，没有提及矢量图形。

SVG 文件的代码

在浏览器中，该文件显示为一个 HTML 页面，其中带有一个指向音频文件的链接。

以 HTML 形式查看的 SVG 文件

点击该链接会将用户重定向到伪装成 Google Voice 的网络钓鱼页面。

模仿 Google Voice 的网络钓鱼页面

页面顶部的音轨是一张静态图像。点击“播放音频”会将用户重定向到公司电子邮件登录页面，攻击者借此获取其凭据。该页面也提到了 Google Voice。此外，页面还包含目标公司的徽标，旨在降低用户的警惕性。

登录表单

在另一个例子中，攻击者模仿电子签名服务的通知，将 SVG 附件作为需要审查和签名的文档呈现。

网络钓鱼电子签名请求

与第一个示例（其中 SVG 文件充当 HTML 页面）不同，在这种情况下，它包含 JavaScript，当打开文件时，会启动一个浏览器窗口，其中包含一个带有伪造 Microsoft 登录表单的钓鱼网站。

SVG 文件的代码

网络钓鱼登录表单

统计数据

我们的遥测数据表明，2025 年 3 月 SVG 活动显著增加。仅在今年第一季度，我们就发现了 2,825 封此类电子邮件。

4 月份，上升趋势仍在继续：在上半月，我们检测到了 1324 封带有 SVG 附件的电子邮件，超过了 3 月份数量的三分之二。

总结

网络钓鱼者正在不断探索新的技术来规避检测。他们不断变换策略，有时采用用户重定向和文本混淆，有时则尝试不同的附件格式。SVG 格式能够在图像中嵌入 HTML 和 JavaScript 代码，而攻击者正是利用了这一点。尽管在本次研究期间 SVG 附件攻击尚未普及，但其攻击呈现明显的上升趋势。这些攻击目前相对简单（与 HTML 附件攻击场景类似），但其攻击手段涉及包含钓鱼链接页面或指向欺诈网站的重定向脚本的 SVG 文件。然而，利用 SVG 作为恶意内容容器也可用于更复杂的定向攻击。