官方将这项技术而命名为“MalDoc in PDF”,攻击者创建特制的常规 PDF 格式文件,用户一旦通过微软 Word 应用打开,执行就会激活文件中的恶意宏命令,执行恶意代码。代码
该机构观察到的机构击技检测样本中,这个恶意文件虽然为 PDF 格式,示警术但真实后缀为.doc。发现如果用户设备配置默认 doc 文件处理应用为 Word,新型那么双击该 PDF 会自动调用 Word 打开。绕过
该机构安全专家 Yuma Masubuchi 表示,常规攻击者会在 Word 中创建 mht 文件,并在 PDF 文件对象后附加一个宏,而 pdfid 等传统 PDF 分析工具很难检测到这些恶意文件。
(责任编辑:休闲)
