窃密手法曝光️日常高频两款软件竟已成境外组织窃密利器

🎯 针对 Word 文档的攻击手法

黑客主要通过以下几种方式利用Word文档：

1.  恶意宏 (Malicious Macros)
   这是最常见的手法。攻击者将恶意代码（宏）嵌入到Word文档中，并将其伪装成会议通知、合同、发票或简历等看似无害的文件。
☄️攻击过程：当用户打开文档时，会看到一个提示，要求“启用内容”或“启用宏”才能正常查看。一旦用户点击启用，嵌入的恶意代码就会自动执行。
☄️造成后果：恶意代码会从远程服务器下载并安装木马程序（如Konni RAT、LokiBot、NetSupport Manager等），这些木马可以窃取系统凭证、记录键盘输入、远程控制电脑，甚至为进一步的网络攻击打开通道。

2.  利用软件漏洞 (Exploiting Vulnerabilities)
   攻击者利用Microsoft Word或其组件（如公式编辑器）中未修复的安全漏洞。
☄️攻击过程：用户只需打开一个精心构造的恶意Word文档，甚至不需要启用宏，攻击就会被触发。例如，利用已知的Follina漏洞（CVE-2022-30190）或公式编辑器漏洞（CVE-2017-11882），文档会自动执行恶意代码。
☄️造成后果：与恶意宏类似，这种方式也能在用户不知情的情况下安装远程访问木马（RAT），如Remcos RAT，让攻击者完全控制受感染的系统。

3.  嵌入恶意链接 (Embedding Malicious Links)
   文档中包含指向恶意网站的链接，这些链接可能被缩短以掩盖其真实目的地。
☄️攻击过程：用户被诱导点击文档中的链接，浏览器会打开一个钓鱼网站或自动下载恶意软件。
☄️造成后果：可能导致个人敏感信息（如信用卡号、登录凭证）被盗，或系统被植入恶意软件。

📄 针对 PDF 文件的攻击手法

PDF文件同样被黑客用作攻击载体，手法多样且极具欺骗性：

1.  文件伪装 (File Masquerading)
   这是一种非常直接的欺骗手段。
☄️攻击过程：攻击者将可执行程序（.exe）的图标伪装成PDF图标，并将文件名设置为类似 xxx.pdf.exe 的双后缀形式。用户在不知情的情况下双击“打开”，实际上是在运行一个恶意程序。
☄️造成后果：直接安装后门或木马，实现对计算机的远程控制。

2.  钓鱼链接 (Phishing Links)
   攻击者将钓鱼链接嵌入到PDF文件中。
☄️攻击过程：PDF文档内容可能模仿一份重要文件或通知，其中包含一个按钮或链接，诱导用户点击以“验证身份”或“下载完整文件”。点击后会跳转到一个高仿真的钓鱼网站，例如要求输入信用卡信息。
☄️造成后果：用户的金融信息或个人凭证被窃取。

3.  利用阅读器漏洞 (Exploiting Reader Vulnerabilities)
   与Word类似，PDF阅读器（如Adobe Acrobat）也存在安全漏洞。
☄️攻击过程：恶意的PDF文件包含特殊构造的代码，当用存在漏洞的阅读器打开时，会自动执行嵌入的脚本或程序。
☄️造成后果：可能导致系统被控制或敏感数据泄露。

4.  利用生成库漏洞 (Exploiting Generation Library Vulnerabilities)
   这是一种更偏向于开发层面的攻击。广泛使用的PDF生成库（如jsPDF）如果存在漏洞（如路径遍历漏洞CVE-2025-68428），攻击者可以利用它来读取服务器上的敏感文件（如 /etc/passwd），并将内容包含在生成的PDF中导出，从而导致信息泄露。

🛡️ 如何防范此类攻击

为了有效保护自己，你可以采取以下措施：
✅ 警惕陌生来源：不要打开来自未知发件人的邮件附件，尤其是Word和PDF文件。
✅禁用宏功能：在Office设置中禁用宏的默认执行，仅在确认文档来源安全且必要时才启用。
✅仔细检查文件：打开PDF前，务必检查文件名的后缀，警惕 pdf.exe 这类双后缀文件。
✅保持软件更新：及时更新操作系统、Office套件和PDF阅读器，以修复已知的安全漏洞。
✅使用安全软件：部署并更新杀毒软件和防火墙，它们可以帮助检测和阻止恶意软件。