国内某知名大学教授收到境外伪装邮件,Word文档内置境外间谍情报机关专研的木马程序;保密观:日常办公文档早已成境外组织的“窃密利器”

今天， “保密观”发文——

在机关、单位日常办公中，接收邮件、查阅文档是每日基础工作。但你是否想过，一份看似平常的DOC或PDF文档，可能正携带着窃取机密的恶意代码？

攻击者利用了用户对Word和PDF文档的信任，精心构造了两种诱饵文件。

套路1：嵌入恶意宏的Word文档——“启用内容”就是“开门揖盗”

攻击者将恶意宏代码嵌入Word文档，伪装成会议通知、合同、补丁说明等常用文件，邮件标题仿官方口吻，极具迷惑性。用户打开文档后，会弹出“启用宏才能正常显示”的提示，一旦点击“启用内容”，宏代码将自动执行：解密释放恶意载荷，生成伪装成合法程序的可执行文件，植入后门，实现开机自启、远程控机，全程静默无提示。

任凯，公众号：保密观机关、单位速查！境外组织通过Word、PDF直取机密文件……

套路2：伪装成PDF的可执行文件——“双击打开”就会“引狼入室”

这种手法更具欺骗性，主要有两种形式：一是“双后缀伪装”，文件名看似“xxx.pdf”，实际是“xxx.pdf.exe”，图标显示为PDF，用户双击后，看似打开PDF，实则运行可执行程序，释放后门；二是“恶意文件伪装”，将恶意.desktop文件伪装成PDF，用户误点后，触发隐藏命令，下载窃密程序。

任凯，公众号：保密观机关、单位速查！境外组织通过Word、PDF直取机密文件……

各机关、单位务必提高政治站位，强化保密责任落实；工作人员要绷紧保密之弦，警惕每一份陌生文档，杜绝“指尖上的泄密”，共同筑牢网络保密安全防线，守护国家秘密安全。

提高风险意识，防范陌生邮件。立即禁用Office软件默认宏执行功能，仅允许受信任、已签名的宏运行；严禁打开陌生邮件附件中的Word文档，若确需打开，先核实发件人身份，确认无风险后，关闭宏功能再浏览，坚决不点击“启用内容”。

任凯，公众号：保密观机关、单位速查！境外组织通过Word、PDF直取机密文件……

警惕PDF陷阱，规范打开流程。接收PDF文件时，先查看文件名后缀，警惕“pdf.exe”双后缀文件，避免双击直接打开；通过正规PDF阅读器打开文件，开启安全模式，禁止PDF自动运行嵌入式程序；不接收陌生来源、无明确用途的PDF文件，尤其是压缩包中的PDF附件。

强化终端防护，全面排查隐患。组织终端安全排查，删除SystemProc.exe等恶意程序；实时监控注册表启动项异常写入，清除后门自启配置；部署动态沙箱等安全防护工具，深度查杀伪装文档。

任凯，公众号：保密观机关、单位速查！境外组织通过Word、PDF直取机密文件……

—  推荐阅读 —

吉林长春一男子陪孕妻做彩超检查，得知接诊医生是男医生后情绪崩溃撞墙，“让人看了不过了，明天离婚”；医生回复：没有听说这个事情

金价大反转!

复旦大学、西安交通大学、上海政法学院、四川警察学院，同日发文悼念

---

来源 | “保密观”微信公众号

版权归原作者所有 如有侵权请及时联系