隨著網路威脅的不斷演進，威脅行為者正在採用更具創意的方式來規避傳統安全防禦措施。根據 SecurityWeek 報導，2025 年 7 月 15 日發布的研究顯示，威脅行為者開始利用 Scalable Vector Graphics (SVG) 文件進行「SVG 走私」攻擊，通過嵌入混淆的 JavaScript 代碼實現瀏覽器原生重定向，引導受害者前往惡意網站。此技術的出現標誌著網路釣魚攻擊的新階段，特別是其無需下載文件或用戶互動即可執行的特性，使其難以被傳統行為或簽名基礎的檢測系統識別。
 

攻擊機制與技術細節

SVG 文件是一種基於 XML 的向量圖形格式，通常被視為無害的圖像文件。然而，其支持嵌入腳本的特性使其成為攻擊者的理想工具。在這類攻擊中，惡意代碼被隱藏在 SVG 文件的 CDATA 區段中，通過靜態 XOR 密鑰在運行時解密有效載荷。解密後的代碼會重建重定向指令，並生成包含跟蹤功能的目標 URL。這種技術利用瀏覽器原生功能（如 window.location.href）執行重定向，無需外部文件下載或宏啟動，從而規避傳統防毒軟體和安全閘道的檢測。
報導指出，攻擊者通過偽造的電子郵件分發這些 SVG 文件，郵件內容通常通過基本的反垃圾郵件過濾器。釣魚主題涵蓋「待辦事項列表」、「未接來電」和「付款」等常見場景，誘導用戶打開或預覽文件。一旦文件在瀏覽器中渲染，嵌入的 JavaScript 會靜默執行，引導用戶至攻擊者控制的基礎設施，這些基礎設施通常使用低聲譽或臨時域名，並可能定期輪換以增加檢測難度。
 

威脅特性與影響

SVG 走私攻擊的關鍵優勢在於其隱蔽性。傳統安全工具通常將 SVG 文件視為圖像而非可執行內容，這導致檢測系統未能及時識別其中的惡意邏輯。此外，攻擊無需用戶主動下載或點擊，即可在瀏覽器中觸發，進一步降低了防禦門檻。根據研究，這種方法特別針對 B2B 行業，如金融、公共事業和軟體即服務 (SaaS) 領域，顯示出攻擊者對高價值目標的精準選擇。
潛在影響不容忽視，成功重定向後，受害者可能面臨憑證盜取、惡意軟體感染或財務損失的風險。報導提到，攻擊者利用 Base64 編碼字符串進行受害者跟蹤，這表明後續攻擊可能演變為更複雜的入侵鏈。此外，偽造域名與合法實體的高度相似性增加了識別難度，特別是當企業依賴電子郵件作為主要通信渠道時。
 

防禦策略與建議

為了應對這一新興威脅，安全專家建議企業採取多層防禦措施。Sectigo 高級研究員 Jason Soroko 強調，應將所有傳入的 SVG 文件視為潛在可執行文件，建議剝離或封鎖其中的腳本標籤（<script>）。此外，實施嚴格的 DMARC 對齊策略、自動清除可疑郵件，並通過遙測監控瀏覽器中的位置變化（如由圖像預覽觸發）以檢測異常重定向。企業還應加強電子郵件安全措施，特別是針對動態腳本活動的檢測，並審查文件傳遞控制。
使用安全的鏈接服務（如 Safe Links）和監控相似域名也有助於中斷攻擊者的策略。Ontinue 等安全公司提供了先進威脅操作 (ATO) 服務，通過主動威脅識別和緩解措施幫助企業應對不斷變化的威脅環境。

SVG 走私攻擊代表了網路釣魚技術的重大進化，結合了瀏覽器原生功能與隱蔽性高的文件格式。隨著攻擊者持續探索新方法，企業必須更新安全策略，超越傳統的檔案過濾思維，將注意力轉向動態腳本和行為分析。及時採取行動不僅能降低風險，還能為未來的類似威脅奠定防禦基礎。安全團隊應密切關注這一趨勢，並利用最新的研究與工具，保護數位資產免受新型攻擊的侵害。