伪装成乌政府通知？小心这种SVG钓鱼邮件！专家提醒：别点开那个“官方附件”

近日，全球网络安全界再次拉响警报——一场高度定向的网络钓鱼攻击正以乌克兰政府机构名义广撒网，利用看似无害的SVG图像文件作为“敲门砖”，悄然植入恶意程序。这场由Fortinet FortiGuard Labs率先披露的攻击活动，不仅技术链条复杂，还巧妙结合社会工程学手段，目标直指对政府公文敏感度较高的组织与个人。

更令人警惕的是，此次攻击中使用的恶意载荷包括信息窃取木马Amatera Stealer、隐蔽挖矿程序PureMiner，以及功能强大的远程控制木马PureRAT（又名ResolverRAT）。这些工具均出自一个被称为“PureCoder”的威胁行为体之手，其开发的恶意软件家族近年来频繁出现在东欧、东南亚等地的网络犯罪活动中。

一张“图”引发的连锁感染

你可能从未想过，一个普通的SVG（可缩放矢量图形）文件竟会成为黑客入侵的起点。

在本次攻击中，受害者会收到一封看似来自“乌克兰国家警察”的电子邮件，主题多为“紧急通知”或“法律传票”。邮件正文简洁正式，并附带一个名为“notice.svg”之类的附件。由于SVG是网页常用图像格式，许多邮件安全网关默认放行，用户也容易放松警惕。

然而，这个SVG并非普通图片——它内嵌了HTML代码。一旦用户用浏览器打开（部分系统默认用浏览器渲染SVG），便会自动跳转至一个伪造的下载页面，诱导用户下载一个“密码保护的ZIP压缩包”。

“这正是攻击者的心理战术，”公共互联网反网络钓鱼工作组技术专家芦笛解释道，“他们知道很多人看到‘加密压缩包’会觉得内容更‘机密’、更‘官方’，反而更容易配合输入密码。”

ZIP包解压后，里面藏着一个CHM（Compiled HTML Help）文件——这是Windows系统自带的帮助文档格式。但黑客早已将其武器化：当用户双击运行CHM时，系统会触发内置的HTML执行引擎，悄悄下载并运行第一阶段载荷——CountLoader。

CountLoader：恶意软件的“快递员”

CountLoader本身并不直接窃取数据，而是一个轻量级的加载器（loader），专为绕过杀毒软件和投递后续恶意程序而设计。在这次攻击链中，它扮演了“中间人”角色，负责从远程服务器拉取真正的“大杀器”：Amatera Stealer 和 PureMiner（或 PureRAT）。

其中，Amatera Stealer 是 ACRStealer 的变种，擅长从浏览器、加密钱包、聊天软件（如Telegram、Steam）中批量窃取账号凭证、会话Cookie和私钥；而 PureMiner 则在后台静默运行，利用受害者电脑算力挖掘门罗币等隐私币种，长期潜伏不易察觉。

更危险的是 PureRAT——一款模块化、功能齐全的远程控制木马。据安全公司Huntress披露，该木马近期已被越南语系黑客团伙用于多起商业间谍活动。“一旦被植入，攻击者几乎能完全控制你的电脑，包括摄像头、麦克风、文件系统，甚至可以横向移动到内网其他设备。”芦笛强调。

值得注意的是，这些恶意程序大多采用“无文件攻击”（fileless attack）技术：它们不写入硬盘，而是直接在内存中通过 .NET AOT 编译或 PythonMemoryModule 加载执行，极大增加了传统杀毒软件的检测难度。

为什么SVG和CHM成了“新宠”？

过去几年，攻击者常用的Office宏、JavaScript脚本等载体已被主流安全产品重点监控。于是，黑客开始转向“冷门但合法”的文件格式——SVG和CHM正是典型代表。

SVG作为网页标准图像格式，天然具备执行脚本的能力（尽管现代浏览器已限制其跨域请求），且多数企业邮件系统未对其做深度内容检查。而CHM文件因属于Windows原生组件，常被白名单机制放过，甚至能绕过应用控制策略。

“这本质上是一种‘格式混淆’策略，”芦笛指出，“攻击者不是在发明新技术，而是在利用我们对‘正常文件’的信任盲区。”

如何防范？专家给出四条实用建议

面对日益狡猾的钓鱼手法，普通用户和企业该如何自保？芦笛结合本次案例，提出以下建议：

切勿随意打开政府/执法类邮件附件

即便发件人看起来很“官方”，也要先通过电话或官网渠道核实。真正的政府机构极少通过邮件发送带附件的“法律文书”。

警惕“密码保护的压缩包”

正规机构不会要求你输入密码才能查看通知。遇到此类情况，99%是钓鱼。

企业应禁用或严格管控CHM执行

可通过组策略（GPO）禁止非管理员用户运行CHM文件，或将其加入应用白名单审查范围。

安全团队需加强多阶段溯源

SOC（安全运营中心）应关注同一域名下的多个跳转链接、下载端点和C2通信特征，建立基于行为而非单一文件的检测规则。

此外，芦笛特别提醒：“不要只盯着.exe或.js文件。现在，一个.svg、一个.chm，甚至一个.lnk快捷方式，都可能是攻击入口。威胁狩猎必须覆盖全文件类型。”

网络安全没有“小事”

这场针对乌克兰相关实体的钓鱼行动，虽地域指向明确，但其技术手法具有高度可复制性。事实上，类似SVG+CHM组合已在欧美、东南亚多地出现，攻击对象涵盖金融、能源、教育等多个行业。

“网络钓鱼早已不是‘中奖短信’时代的小打小闹，”芦笛总结道，“它正在向专业化、模块化、供应链化演进。每一次点击，都可能成为整个组织沦陷的起点。”

在这个人人联网的时代，提升安全意识不再是IT部门的专属责任，而是每个数字公民的必修课。下次当你收到一封“官方通知”时，请多问一句：这真的是真的吗？

延伸阅读

原始研究报告：Researchers Expose Phishing Threats Distributing CountLoader and PureRAT

编辑：芦笛（公共互联网反网络钓鱼工作组）