精心分享,只为提供最佳学习教程
文章不错,欢迎持续学习与关注。
网络安全专家警示,一种新型规避手段正利用将恶意Word文档嵌入PDF文件的方式,以绕过防病毒检测,需引起高度关注。
JPCERT/CC将这种隐蔽手法称为PDF格式的MalDoc,据称于2026年7月在一次野外攻击中被使用。
即使文件包含PDF的魔数和结构,用MalDoc生成的PDF仍可在Word中打开,研究人员Yuma Masubuchi与Kota Kino指出。一旦该文件在Word中加载,并且其中嵌有预设宏,VBS代码便会自动执行,触发恶意操作。
这种特制文件被称为多语言文件,因其能合法兼容多种格式,此处即指同时支持PDF与Word(DOC)两种类型。
需将Word中生成的MHT文件插入,并在PDF对象后追加宏代码,最终生成的文件既可作为有效PDF打开,也能在Word程序中正常加载运行。
换句话说,PDF文件内嵌了一个包含VBS宏的Word文档,一旦在Microsoft Office中以.DOC格式打开,该宏便会执行,下载并安装MSI格式的恶意软件。目前尚不明确通过此方式传播的具体恶意软件种类及其影响范围。
从互联网或邮件下载文档时会附带标记(MotW),安全研究员Will Dormann指出,用户需点击‘启用编辑’才能离开受保护视图,此时才会发现宏功能已被禁用。
多尔曼指出,尽管一个多月前才首次观测到利用PDF格式的MalDoc真实攻击,但已有迹象显示,早在五月份就已开展相关实验,例如名为DummymhtmldocmacroDoc.doc的样本。
社会工程攻击日益复杂,如LAPSUS$与Muddled Libra所展现的那样。攻击者通过网络钓鱼等手段,精心策划以诱骗用户,进而非法获取系统访问权限,凸显了此类攻击在技术与心理层面的双重演进。
Sophos披露一案例,攻击者结合电话与邮件,诱骗瑞士某机构员工,实施了复杂的多阶段攻击。
来电者听起来像一名中年男子,自称是送货司机,称有一个紧急包裹需送往公司某地点,但无人签收。他请求员工提供新的收货地址以便送达。网络安全公司Sophos的研究员安德鲁·勃兰特表示。
他提到,员工需大声朗读运输公司邮件发送的代码,方可重新派送包裹。
据称,运输公司发来的邮件诱导受害者打开看似含代码的PDF附件,实则为嵌入邮件正文的静态图片,其显示效果与附带文件的Outlook邮件无异。
虚假图像垃圾邮件通过多重跳转将用户引导至伪造网站,其间释放伪装成宇宙快递服务的恶意可执行文件。该程序启动后,作为下载并执行后续PowerShell脚本的载体,用于窃取本地数据,并与位于TOR网络中的远程隐蔽服务器建立通信,实现持久化控制和信息回传,整个过程隐蔽性强,旨在逃避安全检测。
域名系统(DNS)中的名称冲突引发安全问题,可能被恶意利用导致敏感信息泄露。
思科Talos在最近的文章中指出:除名称冲突外,某些系统在面对已过期或根本不存在的名称时,也可能出现异常响应。
部分顶级域名中,未注册或已过期的域名仍可解析为IP地址,有的还发布MX记录,接收并收集对应名称的电子邮件。
本文仅供技术交流,严禁用于非法用途。
若您对文中技术或软件感兴趣
欢迎交流
