机关单位必看!Word、PDF竟成境外组织窃密“暗箭”

套路1

带恶意宏的Word文档

——“启用内容”= 开启窃密通道

攻击者将恶意宏代码嵌入Word文档，将文件伪装成会议通知、工作合同、系统补丁说明等机关单位常用文件，邮件标题模仿官方口吻，极具迷惑性，让人难以分辨真伪。用户打开文档后，会弹出“需启用宏才能正常显示内容”的提示，一旦点击“启用内容”，隐藏的宏代码便会自动执行：解密释放恶意程序，生成伪装成合法软件的可执行文件，悄悄植入设备后门，实现开机自启、远程控制设备等操作，整个过程全程静默，无任何明显提示，用户往往毫无察觉。

套路2

伪装成PDF的恶意文件

——“双击打开”= 引狼入室

这种窃密手法隐蔽性更强，主要分为两种形式：一是“双后缀伪装”，文件名看似是“xxx.pdf”，实际真实后缀为“xxx.pdf.exe”，图标却显示为PDF文件，用户因视觉惯性双击打开时，看似在打开PDF文档，实则在运行恶意可执行程序，进而释放后门程序，窃取设备中的敏感信息；二是“恶意文件伪装”，将恶意.desktop文件伪装成PDF图标，用户误点击后，会触发隐藏命令，自动下载窃密程序，完成设备入侵。

强化风险意识，严守邮件防线。立即禁用Office软件默认的宏执行功能，仅允许运行受信任、已签名的宏程序；坚决杜绝打开陌生邮件附件中的Word文档，若因工作需要确需打开，务必先核实发件人真实身份，确认无风险后，关闭宏功能再浏览文档，坚决不点击任何“启用内容”的提示。

惕警惕PDF陷阱，规范操作流程。接收PDF文件时，首先仔细查看文件名后缀，重点警惕“pdf.exe”这类双后缀文件，避免直接双击打开；通过正规、安全的PDF阅读器打开文件，并开启安全模式，禁止PDF文档自动运行嵌入式程序；不接收陌生来源、无明确用途的PDF文件，尤其是压缩包中的PDF附件，坚决从源头规避风险。

强化终端防护，排查安全隐患。各机关、单位要定期组织办公终端安全排查，及时删除SystemProc.exe等已知恶意程序；实时监控注册表启动项的异常写入，及时清除后门程序的自启配置；部署动态沙箱等专业安全防护工具，对各类伪装文档进行深度查杀，全方位防范窃密风险。