ESET 安全提醒:谨防潜伏在 PDF 文件中的病毒威胁

Posted on by
谨防潜伏在诱杀的 PDF 文件中的威胁

PDF 文件已成为我们日常数字生活的主要内容,无论是在工作中还是在家庭中。它们可以跨作系统和设备无缝工作,并且创建和共享再简单不过了。每天,无数的 PDF(便携式文档格式)文件在收件箱和消息传递平台上交换,您很可能今天不假思索地打开了一个文件。

然而,这一切也是使 PDF 成为各种威胁的完美伪装的部分原因。乍一看,PDF 文件似乎与数字文件一样良性。从肉眼看来,带有恶意软件的 PDF 或实际上以 PDF 为幌子传播的另一种文件类型看起来不一定与普通发票、简历或政府表格有太大区别。

安全研究人员看到 PDF 文件一次又一次地作为诱饵出现,尤其是在大规模社会工程活动中,但在 APT 组织行动中,甚至在复杂的零日攻击中也是如此。最近的 ESET 遥测证实,PDF 在恶意活动中被滥用的最多文件类型中名列前茅。

图 1.排名靠前的恶意电子邮件附件类型
图 1.排名靠前的恶意电子邮件附件类型(来源:ESET 威胁报告 H1 2025

披着羊皮的狼

诱杀 PDF 通常以电子邮件附件或网络钓鱼邮件中的链接形式出现,诱骗受害者采取行动。与社会工程活动一样,诱饵经过精心设计以激发情绪,例如紧迫感(想想“最终通知”)、恐惧(“帐户被暂停”)或好奇心(“可用的测试结果”)。最终目标是让你放松警惕,并使用各种劝告,例如“立即付款”和“立即查看”,迫使您打开文件或单击链接。

多年来,攻击技术各不相同,包括:

  • 在文件打开时运行的嵌入式脚本,允许攻击者启动各种作并部署其他有效负载。PDF 中的 JavaScript 可以执行合法任务,例如创建交互式表单和自动化流程,但它也被滥用来下载或执行代码。
  • 隐藏或恶意链接:PDF 中包含的链接可能会将您重定向到凭据收集页面或提示您下载恶意 ZIP 存档或可执行文件。
  • 利用 PDF 阅读器中的漏洞:格式错误的对象或特制的内容可以利用常见 PDF 阅读器的易受攻击版本中的错误并导致代码执行,就像影响 Adobe Reader 并由 ESET 研究人员记录的软件漏洞一样。
  • 仅冒充 PDF 的文件,而是脚本、可执行文件甚至恶意 Microsoft Office 文件等,但其真实文件扩展名可能被隐藏。虽然您可能会看到一个名为“invoice.pdf”的文件,但单击它实际上会启动一个可执行文件。

说到这里,今年早些时候,我们写了一篇关于分发 Grandoreiro 银行木马的活动的文章,并以一封电子邮件开始,敦促受害者打开一份表面上是 PDF 格式的文档。实际上,它是一个 ZIP 存档,其中包含一个 VBScript 文件,该文件在设备上释放 Grandoreiro,并最终让犯罪分子访问受害者的银行凭证。

pdfs-恶意软件检测器-riesgo.afip
图 2.冒充阿根廷政府机构的网络钓鱼电子邮件,并附有指向冒充 PDF 文件的链接

图 3.单击图 2 中的链接后,您将被带到的站点

如何识别可疑 PDF

那么,有哪些危险信号应该让您保持高度警惕呢?

  1. 该文件具有误导性的可见名称或双扩展名。invoice.pdf.exe 或 document.pdf.scr 等名称就是这种情况,尤其是当攻击者撒网并打算诱捕尽可能多的人时。这些文件实际上根本不是 PDF——它们只是被装扮成 PDF 一样。
  2. 发件人的电子邮件地址或姓名与文件显示的内容不符。电子邮件发件人的地址与文档声称来自的组织不同,或者域拼写错误或可疑。
  3. PDF 压缩在 ZIP 或 RAR 存档中。PDF 以 ZIP 或 RAR 形式到达——这是为了规避电子邮件过滤器的检测。
  4. 整个消息出乎意料或听起来“断章取义”。问问自己:我有没有要求提供这个文件?我认识发件人吗?他们把它发给我有意义吗?
3_HSBC_themed_lure.png
图 4.伪装成 PDF 文件的虚假工作机会(来源:ESET Research)

如果您收到可疑的 PDF 该怎么办

如果 PDF 引发危险信号,请采取以下预防措施:

  1. 制立即下载或打开文件的诱惑。“有疑问时,就踢出去”这句格言在这里很有效。
  2. 验证发件人和上下文。在打开可能粗略的附件之前,请通过单独的通信渠道(例如电话)联系发件人,以检查他们是否确实发送了该附件。
  3. 检查文件扩展名和大小。在您的作系统中切换“显示文件扩展名”或类似内容,并确认该文件是真实的.pdf(例如,不是.exe),并且文件大小似乎合理。
  4. 使用安全软件扫描文件(或者将其上传到 VirusTotal 以快速查看)。
  5. 小心打开。如果您绝对必须打开它并采取了其他预防措施,请使用启用了沙盒或受保护视图功能(例如 Adobe 的受保护视图)的最新 PDF 查看器。

如果您怀疑自己打开了粗略的 PDF 该怎么办

  1. 断开与互联网的连接,以减少数据泄露或进一步下载有效负载的机会。
  2. 使用更新的安全解决方案运行完整的计算机扫描。如果您没有,请通过 ESET 的免费扫描仪进行一次性检查。
  3. 检查正在运行的进程和网络连接是否存在异常。如果您没有经验,请找专业人士进行调查。
  4. 更改密码,尤其是您的财务和其他有价值的帐户的密码,尤其是在您怀疑您的凭据可能被盗的情况下,但请从您下载 PDF 的设备以外的设备上进行更改。
  5. 向 IT/安全团队报告事件(如果您在工作计算机上打开了文件)。

离别的思念

这些久经考验的规则将大大有助于保护您免受可疑 PDF 的侵害:

  • 如果您没有预料到该文件,请不要打开它,至少不要先检查该文件是否合法。
  • 了解如何识别网络钓鱼诈骗
  • 由于许多攻击依赖于已知的软件漏洞,因此请使您的作系统和所有其他软件(包括 PDF 阅读器)保持最新状态。
  • 在您选择的 PDF 阅读器中启用受保护视图或沙盒模式,并考虑调整或禁用其中的 JavaScript 设置
  • 在您的所有设备上使用信誉良好的多层安全软件。

可以肯定地说,网络犯罪分子将继续利用我们对 PDF 的信任。将 PDF 用于恶意目的也提醒我们,安全威胁通常不会包裹在看起来可疑的文件中。久经考验的规则也适用于此:谨慎对待每一个意外的链接和附件,并依靠值得信赖的工具来保护您的数据和设备。