打开网易新闻 查看精彩图片

原标题:《机关、单位速查!境外组织通过Word、PDF直取机密文件……》

接收邮件、查阅文档是一些单位的每日基础工作。然而,一份看似平常的DOC或PDF文档,可能正携带着窃取机密的恶意代码。

2025年6月,国家安全部通报一起典型案例。国内某知名大学前沿科技领域专家杨教授收到境外人员伪装成“学生”发送的邮件,附件是加密的Word简历,密码标注在邮件正文中,诱导杨教授打开。杨教授警惕性极高,及时上报,经技术鉴定,该Word文档内置境外间谍情报机关专研的木马程序。

Word、PDF如何成为“窃密工具”?

套路1:嵌入恶意宏的Word文档——“启用内容”就是“开门揖盗”

攻击者将恶意宏代码嵌入Word文档,伪装成会议通知、合同、补丁说明等常用文件,邮件标题仿官方口吻,极具迷惑性。用户打开文档后,会弹出“启用宏才能正常显示”的提示,一旦点击“启用内容”,宏代码将自动执行:解密释放恶意载荷,生成伪装成合法程序的可执行文件,植入后门,实现开机自启、远程控机,全程静默无提示。

套路2:伪装成PDF的可执行文件——“双击打开”就会“引狼入室”

这种手法更具欺骗性,主要有两种形式:一是“双后缀伪装”,文件名看似“xxx.pdf”,实际是“xxx.pdf.exe”,图标显示为PDF,用户双击后,看似打开PDF,实则运行可执行程序,释放后门;二是“恶意文件伪装”,将恶意.desktop文件伪装成PDF,用户误点后,触发隐藏命令,下载窃密程序。

赶紧关注我们的官方账号吧~

清朗网络空间,我们共同守护!

扫码进入举报不良信息页面

来源丨保密观微信公众号、党建头条

编辑|李洋

柳州市互联网信息办公室出品