新型SVG钓鱼套件“Tykit”浮出水面：伪装成“安全文档”，专盯微软365账号

原创

草竹道人

发布于 2025-11-09 08:29:17

680

文章被收录于专栏：公共互联网反网络钓鱼（APCN）公共互联网反网络钓鱼（APCN）

2025年11月，全球网络安全社区再次拉响警报——一种名为“Tykit”的新型网络钓鱼工具包正通过看似无害的SVG图像文件，悄然渗透企业邮箱系统，大规模窃取微软365（M365）账户凭据。据SC Media最新报道，该钓鱼活动已波及数百名受害者，主要集中在金融、科技与教育行业，其技术手法之隐蔽、欺骗性之强，引发业内高度关注。

一张“图”背后藏着登录页陷阱

乍看之下，受害者收到的只是一封普通邮件，附件是一个名为“安全文档查看器.svg”或“加载中.svg”的图片文件。打开后，屏幕上弹出一个浅蓝色背景、带虚线边框的窗口，上面写着“正在加载安全文档，请稍候……”之类的话术，界面设计简洁甚至略显“专业”。然而，这并非静态图像，而是一个嵌入了恶意JavaScript代码的可执行SVG文件。

“SVG（可缩放矢量图形）本质上是一种基于XML的图像格式，但它支持脚本嵌入，这在网页开发中很常见，”公共互联网反网络钓鱼工作组技术专家芦笛解释道，“问题在于，许多邮件网关和安全设备仍将其视为‘普通图片’，不会深度扫描其中是否包含脚本逻辑。这就给了攻击者可乘之机。”

一旦用户点击或自动加载该SVG文件，隐藏的JavaScript便会悄悄触发重定向，将浏览器跳转至一个高度仿真的微软登录页面。更狡猾的是，部分Tykit变种还会在跳转前要求用户输入银行卡号后四位——这一细节看似多余，实则为增强“可信度”：攻击者试图让用户相信这是某种“身份二次验证”流程，从而降低警惕。

“钓鱼即服务”模式让攻击门槛大降

研究人员指出，Tykit很可能属于“钓鱼即服务”（Phishing-as-a-Service, PhaaS）生态的一部分。这意味着，即使不具备高深技术能力的犯罪分子，也能通过租用或购买此类工具包，在几分钟内部署一套完整的钓鱼基础设施。

“Tykit提供标准化模板、域名托管、后台数据收集面板，甚至还有‘客户服务’，”芦笛表示，“这种工业化、模块化的攻击方式，极大降低了网络钓鱼的实施成本，也让追踪溯源变得更加困难。”

值得注意的是，此次攻击的目标高度聚焦于M365账户。一旦得手，攻击者不仅能访问企业邮箱，还能进一步渗透Teams、OneDrive、SharePoint等协作平台，获取敏感商业数据、冒充高管发起二次诈骗，甚至植入勒索软件。

为何SVG成了“新宠”？

过去，钓鱼邮件多依赖Office宏、PDF或ZIP压缩包作为载体。但随着终端防护能力提升，这些传统载体越来越容易被拦截。而SVG因其“图像”身份，在多数企业邮件过滤策略中处于灰色地带。

“很多安全策略默认允许SVG通过，因为它体积小、加载快，常用于企业官网图标或UI元素，”芦笛指出，“但恰恰是这种‘信任惯性’，让它成了绕过检测的理想载体。”

事实上，早在2022年，微软就曾警告SVG文件可能被滥用于网络钓鱼。然而，直到Tykit这类高度工程化的套件出现，才真正暴露出防御体系中的盲区。

防御建议：从“信任附件”到“零信任验证”

面对此类新型威胁，专家呼吁企业立即调整安全策略，不能再将“看起来像图片”的文件视为安全。

芦笛提出三项关键建议：

在邮件网关层面主动剥离或沙箱化SVG文件