一种新型病毒针对PDF中的MalDoc-可以逃过大部分病毒软件

精心分享，只为提供最佳学习教程

文章不错，欢迎持续学习与关注。

网络安全专家警示，一种新型规避手段正利用将恶意Word文档嵌入PDF文件的方式，以绕过防病毒检测，需引起高度关注。

JPCERT/CC将这种隐蔽手法称为PDF格式的MalDoc，据称于2023年7月在一次野外攻击中被使用。

即使文件包含PDF的魔数和结构，用MalDoc生成的PDF仍可在Word中打开，研究人员Yuma Masubuchi与Kota Kino指出。一旦该文件在Word中加载，并且其中嵌有预设宏，VBS代码便会自动执行，触发恶意操作。

这种特制文件被称为多语言文件，因其能合法兼容多种格式，此处即指同时支持PDF与Word（DOC）两种类型。

需将Word中生成的MHT文件插入，并在PDF对象后追加宏代码，最终生成的文件既可作为有效PDF打开，也能在Word程序中正常加载运行。

换句话说，PDF文件内嵌了一个包含VBS宏的Word文档，一旦在Microsoft Office中以.DOC格式打开，该宏便会执行，下载并安装MSI格式的恶意软件。目前尚不明确通过此方式传播的具体恶意软件种类及其影响范围。

从互联网或邮件下载文档时会附带标记（MotW），安全研究员Will Dormann指出，用户需点击‘启用编辑’才能离开受保护视图，此时才会发现宏功能已被禁用。

多尔曼指出，尽管一个多月前才首次观测到利用PDF格式的MalDoc真实攻击，但已有迹象显示，早在五月份就已开展相关实验，例如名为DummymhtmldocmacroDoc.doc的样本。

社会工程攻击日益复杂，如LAPSUS$与Muddled Libra所展现的那样。攻击者通过网络钓鱼等手段，精心策划以诱骗用户，进而非法获取系统访问权限，凸显了此类攻击在技术与心理层面的双重演进。

Sophos披露一案例，攻击者结合电话与邮件，诱骗瑞士某机构员工，实施了复杂的多阶段攻击。

来电者听起来像一名中年男子，自称是送货司机，称有一个紧急包裹需送往公司某地点，但无人签收。他请求员工提供新的收货地址以便送达。网络安全公司Sophos的研究员安德鲁·勃兰特表示。

他提到，员工需大声朗读运输公司邮件发送的代码，方可重新派送包裹。

据称，运输公司发来的邮件诱导受害者打开看似含代码的PDF附件，实则为嵌入邮件正文的静态图片，其显示效果与附带文件的Outlook邮件无异。

虚假图像垃圾邮件通过多重跳转将用户引导至伪造网站，其间释放伪装成宇宙快递服务的恶意可执行文件。该程序启动后，作为下载并执行后续PowerShell脚本的载体，用于窃取本地数据，并与位于TOR网络中的远程隐蔽服务器建立通信，实现持久化控制和信息回传，整个过程隐蔽性强，旨在逃避安全检测。

域名系统（DNS）中的名称冲突引发安全问题，可能被恶意利用导致敏感信息泄露。

思科Talos在最近的文章中指出：除名称冲突外，某些系统在面对已过期或根本不存在的名称时，也可能出现异常响应。

部分顶级域名中，未注册或已过期的域名仍可解析为IP地址，有的还发布MX记录，接收并收集对应名称的电子邮件。

本文仅供技术交流，严禁用于非法用途。

若您对文中技术或软件感兴趣

欢迎交流