危险的套娃：攻击者在 PDF 文件中隐藏恶意Word 文档

发布时间：2025-12-07 19:53:46 作者：玩站小弟

据BleepingComputer消息，日本计算机紧急响应小组 (JPCERT) 日前分享了在2023 年 7 月检测到的利用PDF文档的新型攻击——PDF MalDoc攻击，能将恶意 Word 文件。

据BleepingComputer消息，危险娃攻F文文档日本计算机紧急响应小组 (JPCERT) 日前分享了在2023 年 7 月检测到的击者件中利用PDF文档的新型攻击——PDF MalDoc攻击，能将恶意 Word 文件嵌入 PDF 来绕过安全检测。隐藏

JPCERT采样了一种多格式文件，恶意能被大多数扫描引擎和工具识别为 PDF，危险娃攻F文文档但办公应用程序可以将其作为常规 Word 文档 (.doc) 打开。击者件中多格式文件是隐藏包含两种不同文件格式的服务器租用文件，这些文件格式可根据打开它们的恶意应用程序解释为多种文件类型并执行。

通常，危险娃攻F文文档攻击者使用多格式来逃避检测或迷惑分析工具，击者件中因为这些文件在一种格式中可能看起来安全，隐藏而在另一种格式中隐藏恶意代码。恶意

在JPCERT的危险娃攻F文文档分析结果中，亿华云PDF 文档包含一个带有 VBS 宏的击者件中 Word 文档，如果在 Microsoft Office 中以 .doc 文件形式打开，隐藏则可以下载并安装 MSI 恶意软件文件，但JPCERT并未透露有关安装的恶意软件类型的任何详细信息。

需要注意，PDF 中的建站模板 MalDoc 无法绕过 Microsoft Office 上禁止自动执行宏的安全设置，用户需要通过点击相应设置或解锁文件来手动禁用。

JPCERT 表示，虽然将一种文件类型嵌入另一种文件类型并不是什么新鲜事，但攻击者部署多格式文件来逃避检测的情况已时有发生。

对于攻击者来说，源码库PDF 中MalDoc 的主要优势在于能够躲避传统 PDF 分析工具（如 "pdfid"）或其他自动分析工具的检测，这些工具只会检查文件外层看似正常的结构。

JPCERT给出的解决办法是采用多层防御和丰富的检测集，香港云服务器“OLEVBA”等其他分析工具仍然可以检测隐藏在多语言中的恶意内容。此外，他们还分享了一条 Yara 规则，即检查文件是否以 PDF 签名开头，并包含指示 Word 文档、Excel 工作簿或 MHT 文件的模式，免费模板这与 JPCERT 在野外发现的规避技术一致。

Tag：

重磅更新！微软将在 Windows11中推出通行密钥支持功能
作为桌面操作系统重大更新的一部分，微软昨天9月26日）正式在 Windows 11 中推出了对通行密钥的支持功能。用户仅需依靠设备的 PIN 码或生物识别信息即可完成登录步骤，不再需要提供用户名和密码
2025-12-07
网络安全如何促进可持续发展
网络安全和可持续发展之间的联系可能并不明显，但严格的安全对于绿色生活至关重要。人们不会立即将网络安全与可持续发展联系起来。然而，严格的互联网安全对于人们用于绿色生活和进行环境研究的许多产品和努力至关重
2025-12-07
九成pfSense开源防火墙暴露实例存在高危漏洞
近日，研究者发现全球超过1000台存在严重漏洞的pfSense设备在线暴露，面临攻击风险。pfSense是Netgate推出的一款流行的开源防火墙解决方案，基于FreeBSD，可安装于实体电脑或虚拟机
2025-12-07
不仅吸尘还吸数据：自动吸尘器可能正在监视你
自2000年代第一款自动吸尘器进入市场以来就发展迅猛，它们可以快速地清扫房间的角角落落，最新版本甚至可以自动避开线缆和鞋带。然而便捷的一切都是有代价的，我们说的不仅仅是花钱。为了应对障碍物，现代自动吸
2025-12-07
K8s安全配置：CIS基准与kube-bench工具
01、概述K8s集群往往会因为配置不当导致存在入侵风险，如K8S组件的未授权访问、容器逃逸和横向攻击等。为了保护K8s集群的安全，我们必须仔细检查安全配置。CIS Kubernetes基准提供了集群安
2025-12-07
日本主要通讯应用Line遭攻击，数十万用户面临数据泄露风险
11月27日下午，日本最主要通讯应用程序Line的运营商、日本LY公司发布公告称，有攻击者通过附属公司的 NAVER Cloud 系统访问了其内部服务器，可能泄露了数十万条包含用户、员工和业务合作伙伴
2025-12-07