在日常辦公中,看似平常的DOC、PDF文檔可能暗藏惡意代碼,成為竊取機密的工具。「保密觀」微信公眾號近期披露了相關案例:
案例一:2026年1月22日,工業和資訊化部網路安全威脅和漏洞資訊共享平台(CSTIS)發布風險提示,指出攻擊者將惡意代碼藏匿於看似普通的DOC文檔與PDF文件中,利用工作人員對常見文件格式的信任,伺機竊取政府、軍事、電信、能源等機構的系統憑證、機密文件等敏感數據。
案例二:2025年6月,國家安全部通報一起典型案例。國內某知名大學前沿科技領域專家楊教授收到境外人員偽裝成「學生」發送的郵件,附件是加密的Word簡歷,密碼標註在郵件正文中,誘導楊教授打開。楊教授警惕性極高,及時上報,經技術鑑定,該Word文檔內置境外間諜情報機關專研的木馬程序。萬幸的是,楊教授在日常科研工作中嚴格遵守保密管理要求,並未在該電腦中存儲任何敏感資訊,避免了失泄密情況的發生。
Word、PDF如何成為「竊密工具」?
攻擊者利用了用戶對Word和PDF文檔的信任,精心構造了兩種誘餌文件:
套路一:嵌入惡意宏的Word文檔——「啟用內容」等於「開門揖盜」
攻擊者將惡意宏代碼嵌入Word文檔,偽裝成會議通知、合同、補丁說明等常用文件,郵件標題仿官方口吻,極具迷惑性。用戶打開文檔後,會彈出「啟用宏才能正常顯示」的提示,一旦點擊「啟用內容」,宏代碼將自動執行:解密釋放惡意載荷,生成偽裝成合法程序的可執行文件,植入後門,實現開機自啟、遠程控機,全程靜默無提示。
套路二:偽裝成PDF的可執行文件——「雙擊打開」就會「引狼入室」
這種手法更具欺騙性,主要有兩種形式:
一是「雙後綴偽裝」,文件名看似「xxx.pdf」,實際是「xxx.pdf.exe」,圖標顯示為PDF,用戶雙擊後,看似打開PDF,實則運行可執行程序,釋放後門;
二是「惡意文件偽裝」,將惡意.desktop文件偽裝成PDF,用戶誤點後,觸發隱藏命令,下載竊密程序。
防範建議
網路竊密無孔不入,機關、單位工作人員一次疏忽的點擊、一個僥倖的操作,都可能導致國家秘密、工作秘密全盤失守。各機關、單位務必提高政治站位,強化保密責任落實,工作人員要繃緊保密之弦,警惕每一份陌生文檔,杜絕「指尖上的泄密」。
具體措施包括:
提高風險意識,防範陌生郵件:立即禁用Office軟體默認宏執行功能,僅允許受信任、已簽名的宏運行;嚴禁打開陌生郵件附件中的Word文檔,若確需打開,先核實發件人身份,確認無風險後,關閉宏功能再瀏覽,堅決不點擊「啟用內容」。
警惕PDF陷阱,規範打開流程:接收PDF文件時,先查看文件名後綴,警惕「pdf.exe」雙後綴文件,避免雙擊直接打開;通過正規PDF閱讀器打開文件,開啟安全模式,禁止PDF自動運行嵌入式程序;不接收陌生來源、無明確用途的PDF文件,尤其是壓縮包中的PDF附件。
強化終端防護,全面排查隱患:組織終端安全排查,刪除SystemProc.exe等惡意程序;實時監控註冊表啟動項異常寫入,清除後門自啟配置;部署動態沙箱等安全防護工具,深度查殺偽裝文檔。
