不肖人士以 PDF 附件中夹带 Word 文件来，骗取下载并偷偷记录你的键盘使用

在过去 10 年里面，攻击者喜欢将一些通过邮件散播的恶意软件打包成 Microsoft Office 文件格式，尤其是 Word 和 Excel 文件，原因无它，就是使用者对这些档案类型较为熟悉，防范随之松懈，而且用于打开这些档案的应用无所不在，所以很适合用来作为诱饵。现在它又有新的形态，目的同样都是侵入你的世界。
不肖人士以 PDF 附件中夹带 Word 文件来，骗取下载并偷偷记录你的键盘使用

不肖人士以 PDF 附件中夹带 Word 文件来，骗取下载并偷偷记录你的键盘使用

在经过长期的报道与教育，现在用户对于信件中夹带的档案已经有防范意识，于是恶意人士开始用另一种方式来骗你下载有害软件。 HP Wolf Security 一份最新的报告中，研究人员详细说明了不肖人士如何利用 PDF 文件来作为内含宏文件的传播工具，这些宏会在受害者的电脑下载并安装信息窃取用途的恶意软件。
不肖人士以 PDF 附件中夹带 Word 文件来，骗取下载并偷偷记录你的键盘使用

这些不甚干净的 PDF 文件通常以像是「汇款发票」之类大家普遍会特别注意的档案名称，夹带在内含向收件人做出模拟两可承诺的信件中，当你打开 PDF 时，Adobe Reader 会提示用户打开其中所包含的 DOCX 文件，这状况非常罕见，可能会让受害者感到困惑。由于命名嵌入文件的威胁参与者名称直接就叫作「已验证」，因此在接下来的「打开文件」提醒中会指名「文件已验证」。此项提示可能会诱使收件人相信 Adobe 已验证该文件是干净且可以安全开启。
不肖人士以 PDF 附件中夹带 Word 文件来，骗取下载并偷偷记录你的键盘使用

虽然恶意软件分析师可以利用解析器和脚本检查 PDF 中的嵌入式档案，但对于收到此类信件的一般用户却很难判断，甚至不知道要从哪里开始。因此许多人可能会在 Microsoft Word 中直接打开 DOCX，可是当你启动了其中的宏，将自动从远程资源下载 RTF 文件并起开启它。该 RTF 文件名为「f_document_shp.doc」，其中包含有格是错误的 OLE 对象，可能会藉此逃避分析。经过针对性的重建后，HP 的分析师发现，它试图滥用旧版的微软方程式编辑器（Microsoft Equation Editor）来运行任意代码。
不肖人士以 PDF 附件中夹带 Word 文件来，骗取下载并偷偷记录你的键盘使用

在不进一步运行它的情况下，HP 安全分析师看到恶意软件擅自下载了一个名为「fresh.exe」并使用 ShellExecuteExW 在公共用户目录中运行它。此执行文件可也就是臭名昭著的模块化 .NET 键盘记录器与密钥凭证窃取者「Snake Keylogger」，可以记录下用户在键盘上输入的各种活动，进而造成受害者个人隐私以及财物的损失。
不肖人士以 PDF 附件中夹带 Word 文件来，骗取下载并偷偷记录你的键盘使用

虽然 Office 格式仍然很受恶意人士的欢迎，但此活动显示了攻击者如何使用 PDF 文件来迂回感染系统。嵌入档案、加载远程托管的攻击和加密 shellcode 只是攻击者用来在雷达下运行恶意软件的三种技术。此活动中被利用的漏洞（CVE-2017-11882）已存在有四年多的历史但仍被继续使用，这表明该漏洞对攻击者仍然有效尚未修补。