Microsoft Visio 文件钓鱼攻击分析

研究团队发现了一种新型的两步式钓鱼攻击手法,该攻击利用Microsoft Visio文件(.vsdx)和SharePoint平台实施。攻击者通过在.vsdx格式文件中嵌入恶意URL来躲避检测并窃取用户凭证。

在当今网络犯罪中,两步式钓鱼攻击已成为主要手段之一。攻击者往往利用DocuSign和SharePoint等可信平台,通过多层传递恶意内容来规避检测。最近,威胁者开始在两步式钓鱼活动中利用Microsoft Visio文件。本文将深入分析攻击者如何将.vsdx文件武器化,将其作为规避检测的新型手段。

Microsoft Visio文件是什么？

Microsoft Visio是一款用于创建和设计专业图表的工具,常用于制作流程图、网络拓扑图和业务流程图等,这些文件通常以**.vsdx**格式保存。在企业环境中,Visio文件被广泛用于可视化复杂数据和工作流程。在最近的钓鱼活动中,攻击者将Visio文件武器化,把它作为两步式攻击路径中的诱饵传递点。让我们详细分析攻击者是如何利用Visio文件进行钓鱼的。

Visio相关凭证盗窃案例激增

安全研究人员观察到,利用**.vsdx文件的两步式钓鱼攻击数量急剧增加——这种文件格式在此前的钓鱼活动中极少出现。这类攻击代表着两步式钓鱼战术的升级,通过新的欺骗手段来躲避检测并利用用户信任,目标直指全球数百家机构。

完美钓鱼 - 从被盗邮箱账号开始

攻击始于威胁者利用被盗的邮箱账号向目标发送邮件。由于这些邮件来自真实账号,因此能够通过SPF等标准认证检查,这进一步增强了邮件在收件人和安全系统眼中的可信度。在某些情况下,攻击者会在邮件中附加一个 .eml文件（Outlook邮件），并在其中植入URL。

这类攻击的社会工程学套路通常涉及一份重要文件,比如商业提案或采购订单(PO),并要求收件人立即查看。

SharePoint托管的.vsdx文件

当受害者点击邮件正文或附加的.eml文件中的URL时,会被引导至托管了Visio (.vsdx)文件的Microsoft SharePoint页面。用于上传和托管.vsdx文件的SharePoint账号通常也是被盗的。

在Visio文件中,攻击者在一个可点击的按钮（通常是**"查看文档"按钮）背后嵌入了另一个URL。这些文件的外观各不相同,有些甚至会使用被盗用户所在组织的标志和品牌元素**来增加可信度。

要访问嵌入的URL,受害者需要按住Ctrl键并点击——这个巧妙的操作旨在躲避邮件安全扫描器和自动检测工具。

要求按Ctrl键这样的简单交互是普通用户能够完成的动作,但自动化系统往往无法模拟这种行为。

重定向至钓鱼页面

当受害者与Visio文件中的链接互动时,会被重定向到一个伪造的Microsoft登录页面。这个页面模仿了正版Microsoft 365门户网站,目的是窃取目标用户的凭证。

钓鱼攻击的新标准？

Microsoft最近承认他们的服务正被钓鱼活动滥用,这凸显了一个令人担忧的趋势：利用SharePoint和Visio等可信平台和文件格式的两步式钓鱼攻击正变得越来越普遍。这些多层规避技术一方面利用了用户对熟悉工具的信任,另一方面又能躲过标准邮件安全平台的检测。