Mcafee發佈了一篇欺騙性 PDF 的增加:惡意負載的門戶
PDF 是一種廣泛使用的檔案格式,常用於電子郵件的附件。然而,PDF 檔案的複雜結構也讓它們容易被利用,隱藏惡意內容。近期,McAfee 實驗室發現了許多透過 PDF 檔案傳播的知名惡意程式,例如 Agent Tesla。這些惡意程式通常利用 PDF 檔案中的 JavaScript 或超連結,將使用者引導到惡意網站,從而下載惡意負載,造成系統感染或資料洩露。
PDF 惡意程式的攻擊流程
PDF 惡意程式的攻擊流程大致如下:
- 初始存取:攻擊者通過電子郵件發送一個包含 PDF 附件的郵件,該附件通常偽裝成發票、訂單、通知等主題,並有一個顯眼的下載按鈕、要求立即行動的訊息,或者看似無害的超連結。當使用者打開 PDF 檔案時,會看到一個提示,例如「播放器不相容」或「請更新 Adobe Reader」,並要求使用者點擊按鈕或超連結。
- 執行:當使用者點擊按鈕或超連結時,PDF 檔案會根據使用者的 Acrobat Reader 版本,採取不同的行動。在舊版或未更新的 Acrobat Reader 中,PDF 檔案可以直接執行內嵌的 JavaScript,使用 MSHTA 啟動 PowerShell,並進行進程注入。在最新版的 Acrobat Reader 中,PDF 檔案無法直接執行 JavaScript,而是會將使用者重導到一個惡意網站,從該網站下載惡意腳本。接下來的過程與前一種情況相同。
- 特權提升:惡意腳本會利用進程注入的技術,將惡意程式的程式碼注入到合法的系統進程中,例如 svchost.exe 或 explorer.exe,從而獲得更高的權限,並避免被防毒軟體偵測。
- 憑證存取:惡意程式會嘗試竊取使用者的網路瀏覽器中儲存的憑證,例如使用者名稱、密碼、信用卡資訊等,並將它們傳送到遠端的伺服器。
- 資料外洩:惡意程式會掃描使用者的硬碟,尋找有價值的資料,例如文件、圖片、影片等,並將它們上傳到雲端儲存空間,例如 Google Drive 或 Dropbox,以進行勒索或敲詐。
- 資料加密:惡意程式會對使用者的資料進行加密,並要求使用者支付贖金,才能解密資料。惡意程式會在使用者的桌面上留下一個贖金訊息,指示使用者如何支付贖金,並警告使用者不要嘗試自行解密資料,否則會導致資料永久損毀。
如何防範 PDF 惡意程式的攻擊
PDF 惡意程式的攻擊是一種常見的網路威脅,對使用者的系統和資料造成嚴重的危害。為了防範這種攻擊,使用者可以採取以下的措施:
- 保持 Acrobat Reader 的最新版本,並定期安裝安全更新。
- 不要隨意打開來自不明來源或可疑主題的 PDF 附件,並檢查附件的檔案名稱和大小是否正常。
- 不要輕信 PDF 檔案中的提示或訊息,並避免點擊任何按鈕或超連結。
- 使用可靠的防毒軟體,並開啟實時掃描和網路保護功能。
- 定期備份重要的資料,並儲存在離線的媒體或雲端空間。
- 如果發現系統或資料被惡意程式感染或加密,不要輕易支付贖金,而是聯絡專業的資安人員或機構,尋求協助。
PDF 惡意程式的攻擊是一種不容忽視的網路威脅,使用者應該提高警覺,並採取適當的防護措施,以保護自己的系統和資料免受損害。
詳情請看: