警惕!日常办公常用的Word、PDF文档,可能成为窃取工作机密的“隐蔽陷阱”

在机关、单位日常办公工作中，接收邮件、查阅各类文档是工作人员每日必做的基础工作。工作人员已普遍适应DOC、PDF等常见文件格式的使用，但往往忽视了一个重要问题——这些看似普通的文档，背后可能隐藏着窃取工作机密的恶意代码，为办公安全埋下潜在隐患。 

本次，科易将结合典型案例，拆解办公文档背后的窃密手段，普及相关防范知识，助力工作人员守住“指尖上的秘密”，共同筑牢网络保密安全防线。

攻击者的核心作案逻辑，是利用工作人员对Word、PDF文档的天然信任，精心构造“诱饵”文件，通过诱导操作实现窃密目的。其主要作案手法有两种，具体如下：

手法一：嵌入恶意宏的Word文档——“启用内容”即开启窃密通道

攻击者将恶意宏代码嵌入Word文档，伪装成会议通知、工作合同、补丁说明等常用办公文件，邮件标题模仿官方口吻，具有极强的迷惑性，易误导工作人员点击查看。 工作人员打开该文档后，系统会弹出“启用宏方可正常显示”的提示，一旦点击“启用内容”，恶意宏代码将自动执行，具体操作包括：解密释放恶意载荷、生成伪装为合法程序的可执行文件、植入后门程序，同时实现开机自启、远程控制计算机等功能，整个过程静默进行、无任何提示，工作人员的敏感数据将被秘密窃取。

手法二：伪装成PDF的可执行文件——“双击打开”就会“引狼入室”

此类作案手法隐蔽性更强、欺骗性更高，主要分为两种表现形式，需重点警惕： 一是“双后缀伪装”，文件名称表面显示为“xxx.pdf”，实际后缀为“xxx.pdf.exe”，图标伪装为PDF文档样式。工作人员双击文件后，表面上是打开PDF文档，实则运行恶意可执行程序，后门程序将被瞬间植入计算机；  二是“恶意文件伪装”，将恶意.desktop文件伪装为PDF文档，工作人员误点击后，将触发隐藏命令，自动下载窃密程序，进而窃取计算机内存储的敏感信息。

防范指南：三项措施筑牢办公保密安全防线

各机关、单位务必提高政治站位，强化保密责任落实；工作人员要绷紧保密之弦，警惕每一份陌生文档，杜绝“指尖上的泄密”，共同筑牢网络保密安全防线，守护国家秘密安全。

一、强化风险意识，严守邮件接收规范

各单位及工作人员需立即禁用Office软件默认的宏执行功能，仅允许受信任、已签名的宏运行；严禁随意打开陌生邮件附件中的Word文档，确需打开的，需先核实发件人身份，确认无安全风险后，关闭宏功能再进行浏览，坚决杜绝点击“启用内容”选项。

二、警惕PDF陷阱，规范文件打开流程  

接收PDF文件时，需仔细核查文件名称后缀，重点警惕“pdf.exe”等双后缀文件，避免直接双击打开；通过正规PDF阅读器打开文件，开启安全模式，禁止PDF文档自动运行嵌入式程序；不接收陌生来源、无明确用途的PDF文件，尤其要警惕压缩包中的PDF附件。 

三、强化终端防护，全面排查安全隐患

各机关、单位需组织开展终端安全全面排查，及时删除SystemProc.exe等恶意程序；实时监控注册表启动项异常写入情况，及时清除后门自启配置；部署动态沙箱等安全防护工具，对伪装类文档进行深度查杀，从源头防范各类窃密风险。