小心！你收到的“财务报告”可能是“特洛伊木马”——新型SVG钓鱼攻击席卷全球金融机构

当你收到一封来自“SWIFT全球服务”的邮件，附件是“Swift Transaction Report.svg”时，千万别急着打开。这很可能不是一份财务文件，而是一个精心伪装的“数字炸弹”。近日，IBM X-Force网络安全研究团队发布重磅报告，揭露了一场针对全球金融机构的新型钓鱼攻击，其武器竟是一种常被忽视的图像格式——SVG（可缩放矢量图形）。

这场代号“武器化SVG”的全球钓鱼活动，已成功渗透15个国家的金融系统，其攻击手法之隐蔽、成功率之高，令网络安全界为之震惊。

SVG文件变身“特洛伊木马”，传统防线形同虚设

与常见的伪装成PDF或Word文档的钓鱼邮件不同，此次攻击者利用了SVG文件的“先天优势”。SVG是一种基于XML的矢量图形格式，广泛用于网页设计，因其可缩放、清晰度高而备受青睐。然而，IBM X-Force分析师指出，SVG文件支持嵌入JavaScript代码，这为攻击者提供了可乘之机。

“攻击者将恶意JavaScript代码‘藏’在看似无害的SVG图像中。”IBM X-Force战略威胁分析师奥斯汀·泽泽尔解释道，“当用户在浏览器或支持SVG的软件中打开文件时，代码就会自动执行，下载后续的恶意软件。”

更危险的是，许多企业邮件安全网关和反病毒软件并未将SVG文件列为高风险类型，对其内部脚本的检测能力薄弱，导致这些“武器化”的SVG文件轻易绕过第一道防线。

“三步走”攻击链：从图像到全面控制

据IBM分析，此次攻击的流程堪称“教科书级别”：

诱饵阶段：受害者收到一封伪装成SWIFT（环球银行金融电信协会）官方通知的邮件，主题多为“紧急支付确认”或“转账审核”，诱导用户打开名为“Swift Transaction Report.svg”的附件。

载荷释放：一旦SVG文件被打开，其中的JavaScript代码立即激活，将一个包含恶意JavaScript文件的ZIP压缩包写入用户系统。

全面入侵：用户解压后运行其中的JS文件，便会触发下载一个用Java编写的恶意加载器。如果系统安装了Java环境，攻击者就能远程部署“蓝香蕉”（Blue Banana）、“萨姆巴间谍”（SambaSpy）等远程控制木马（RAT），实现对设备的完全控制，窃取凭证、监控会话，甚至发动进一步攻击。

专家支招：技术防御需升级，用户意识是关键

面对这种新型威胁，公共互联网反网络钓鱼工作组技术专家芦笛表示：“SVG钓鱼的出现，再次证明了攻击者在‘绕过检测’上的‘创新’。传统的文件类型黑名单已经不够用了。”

芦笛建议，企业和机构应立即采取以下措施：

策略升级：在邮件网关和终端防护中，对SVG文件实施更严格的过滤策略，尤其是来自外部的附件。

沙箱分析：部署具备高级行为分析能力的沙箱系统，能够动态执行并监控SVG文件中的脚本行为，识别异常活动。

软件管理：及时更新系统、浏览器和Java运行环境，减少可被利用的漏洞。

用户教育：加强员工网络安全培训，强调“不轻信、不点击、不打开”未知来源的附件，即使是“图像文件”也不例外。

“技术是盾牌，但人的警惕性才是第一道防线。”芦笛强调，“攻击者总在寻找最薄弱的环节，而这一次，他们盯上了我们对‘图像文件’的信任。”

目前，IBM已公开此次攻击的详细技术指标（IoC），供全球安全社区共享防御。随着攻击手法的不断演变，网络安全攻防战已进入“精细化”时代，一场看不见的战争，正在我们每一次点击中悄然上演。

编辑：芦笛（公共互联网反网络钓鱼工作组）