网络钓鱼设计：使用 Microsoft Visio 文件的两步攻击

两步式网络钓鱼攻击已成为现代网络犯罪的基石，利用 DocuSign 和 SharePoint 等受信任的合法平台分层传递恶意内容以逃避检测。最近，威胁开始在两步式网络钓鱼活动中利用 Microsoft Visio 文件。本分析深入探讨了 .vdsx 文件如何越来越多地被用作网络钓鱼攻击的武器，成为攻击者武器库中的一种新逃避技术。 

什么是 Microsoft Visio 文件？

Microsoft Visio是一款用于创建和设计专业图表（如流程图、网络图和流程图）的工具，通常以.vsdx格式保存。这些文件广泛用于商业环境中，用于可视化复杂的数据和工作流。在最近的网络钓鱼活动中，Visio 文件被用来传递恶意 URL，从而在两步攻击路径中创建欺骗性传递点。让我们分析一下攻击者如何利用 Visio 文件进行网络钓鱼。

基于 Visio 的凭证盗窃案激增 

Perception Point 的安全研究人员发现，利用.vsdx 文件的两步式网络钓鱼攻击数量急剧增加，而 .vsdx 文件是迄今为止在网络钓鱼活动中很少使用的文件扩展名。这些攻击代表了两步式网络钓鱼策略的复杂性，利用新的欺骗手段针对全球数百家组织，旨在逃避检测并利用用户信任。

图表危险：Visio 文件攻击的分步分析

Phish Perfect – 被盗电子邮件账户

攻击始于威胁者利用被攻破的电子邮件帐户向目标发送电子邮件。由于这些邮件是从真实帐户发送的，因此它们会通过SPF等标准身份验证检查，从而进一步增强其在收件人和安全系统眼中的合法性。在某些情况下，攻击者会将 .eml文件（Outlook 电子邮件消息）作为附件添加到邮件中，并在那里植入 URL。 

这些活动的社会工程学组成部分通常涉及一份重要文件，例如商业提案或采购订单 (PO)，要求收件人立即查看。 

攻击示例 1：受感染用户发送的带有 .eml 附件的提案电子邮件

攻击示例 1：.eml 文件包含指向 SharePoint 托管文件的 URL

攻击示例2：SharePoint 托管的“PO 文档” 

欺骗的清晰愿景 – SharePoint 托管的 .vsdx 文件

单击电子邮件正文或附加的 .eml 文件中提供的 URL，受害者将进入托管Visio (.vsdx) 文件的Microsoft SharePoint 页面。用于上传和托管 .vdsx 文件的 SharePoint 帐户也经常受到攻击。

攻击示例 1：按住 Ctrl 键单击“查看文档”会导致恶意负载

在 Visio 文件中，攻击者在可点击的行动号召后面嵌入了另一个 URL，在大多数情况下，我们观察到它是一个  “查看文档”按钮。这些文件的外观各不相同，有些甚至包含被入侵用户组织的徽标和品牌，以增强可信度。 

为了访问嵌入的 URL，受害者需要按住 Ctrl 键并单击- 这是一个微妙但非常有效的操作，旨在逃避电子邮件安全扫描程序和自动检测工具。

要求按下 Ctrl 键的输入依赖于人类用户可以执行的简单交互，从而有效地绕过了未设计为复制此类行为的自动化系统。

攻击示例 2：“请按住键盘上的 CTRL 键并单击“查看文档”以访问提案”

失去控制——重定向到钓鱼页面

与 Visio 文件上的链接交互会将受害者重定向到虚假的 Microsoft 登录页面，该页面旨在模仿合法的 Microsoft 365 门户并窃取目标的凭据。 

攻击样本 1+2：第一个恶意负载——冒充 Microsoft 365 的钓鱼页面

分解利用恶意 Visio 文件的两步网络钓鱼攻击来源：Perception Point X-Ray

网络钓鱼的新标准？

微软最近承认其服务在网络钓鱼活动中被滥用，这凸显了一个令人担忧的趋势：利用受信任平台和 SharePoint 和 Visio 等文件格式的两步网络钓鱼攻击正变得越来越普遍。这些多层规避策略利用用户对熟悉工具的信任，同时逃避标准电子邮件安全平台的检测。

来源：Microsoft Threat Intelligence

在Perception Point，我们致力于保持领先一步。我们的高级检测技术（包括动态 URL 分析和对象检测模型）旨在发现和消除复杂威胁，例如两步式网络钓鱼。无论是巧妙伪装的 Visio 文件还是下一代网络钓鱼（例如二维码），我们都提供实时威胁预防，以确保组织安全。

感谢您抽出

.

.

来阅读本文

点它，分享点赞在看都在这里