一份看似平常的DOC或PDF文档,可能正携带着窃取机密的恶意代码。在机关、单位日常办公中,你是否遇到过类似情况?
套路1:嵌入恶意宏的Word文档——“启用内容”就是“开门揖盗”
攻击者将恶意宏代码嵌入Word文档,伪装成会议通知、合同、补丁说明等常用文件,邮件标题仿官方口吻,极具迷惑性。用户打开文档后,会弹出“启用宏才能正常显示”的提示,一旦点击“启用内容”,宏代码将自动执行:解密释放恶意载荷,生成伪装成合法程序的可执行文件,植入后门,实现开机自启、远程控机,全程静默无提示。
套路2:伪装成PDF的可执行文件——“双击打开”就会“引狼入室”
这种手法更具欺骗性,主要有两种形式:一是“双后缀伪装”,文件名看似“xxx.pdf”,实际是“xxx.pdf.exe”,图标显示为PDF,用户双击后,看似打开PDF,实则运行可执行程序,释放后门;二是“恶意文件伪装”,将恶意.desktop文件伪装成PDF,用户误点后,触发隐藏命令,下载窃密程序。
杜绝“指尖上的泄密”
要注意这几点↓↓↓
警惕PDF陷阱。接收PDF文件时,警惕“pdf.exe”双后缀文件,避免双击直接打开;通过正规PDF阅读器打开文件,开启安全模式,禁止PDF自动运行嵌入式程序;不接收陌生来源、无明确用途的PDF文件,尤其是压缩包中的PDF附件。
强化终端防护。组织终端安全排查,删除SystemProc.exe等恶意程序;实时监控注册表启动项异常写入,清除后门自启配置;部署动态沙箱等安全防护工具,深度查杀伪装文档。
关怀版
黑公网安备23010302000384号