这种格式的文档的流行使得它们 PDF 处于反复的攻击路径中 针对公司和用户,无论是通过电子邮件还是看似合法的网络下载。
其良好的兼容性和灵活性对攻击者有利:PDF 可以包含 链接、表单、脚本和嵌入文件 能够触发下载、执行代码或捕获敏感信息而不会引起怀疑。
恶意 PDF 兴起的背后原因是什么?
这些文件所激发的信任使得它们更容易通过筛选和快速审核: 它们看起来像普通文件 (发票、银行通信或官方通知)并单击打开。
ESET 等网络安全公司证实 恶意 PDF 是最常见的检测之一 在电子邮件活动中,将它们置于全球威胁排名的突出位置。
在专家调查的一次行动中,一个伪装成来自公共行政部门的 PDF 文件包含一个链接,旨在 下载 Grandoreiro 银行木马,旨在窃取财务凭证。
我们还观察到利用文档中的自动命令的技术:例如,带有 启动嵌入式 Office 文件的 OpenAction 并利用过时设备上的 CVE-2017-11882 等已知漏洞。
这种现象并非个例。各种威胁形势报告表明 PDF 网络钓鱼攻击 由于其熟悉的外观和高打开率,增长显著。
如何识别它们以及它们会带来哪些风险
在打开附件或下载的文件之前,建议检查是否存在明显的欺诈迹象:最少的检查可以大大降低上当受骗的可能性。 安装恶意软件的恶意 PDF 或窃取数据。
- 可疑链接:指向未知、不安全站点或域名奇怪的站点的超链接。
- 许可证申请 或不寻常的功能:无故激活 JavaScript、宏或外部下载。
- 惊人的失误:文字写得不好、字体不典型或设计粗糙。
- 非典型尺寸:文件对于承诺的内容来说太小,或者相反,太重。
- 名称和扩展名:像“documento.pdf.exe”这样的技巧或像“Invoice.pdf”这样的通用标题。
- 压缩文件:ZIP 或 RAR 中的 PDF,这是逃避过滤器的常用做法。
- 可疑发件人:与假定发送实体不匹配的地址或意外消息。
危险不仅仅在于一个简单的病毒:被操纵的 PDF 可以执行 高影响力行动 几乎不需要用户干预。
- 下载/安装恶意软件:从木马和间谍软件到勒索软件,都在后台启动。
- 信息窃取:捕获凭证、个人数据或财务信息并将其发送到攻击者的服务器。
- 漏洞利用:利用流行阅读器(例如 Adobe Acrobat 或 Foxit)中的缺陷来执行远程代码。
- 有针对性的攻击:针对目标公司的基础设施量身定制的文件,以最大限度地造成损害。
漏洞和保护措施
研究人员警告称,文档分析生态系统存在一个严重的弱点: Apache Tika PDF 模块中的 XXE 漏洞 (CVE-2025-54988)可通过 PDF 中嵌入的 XFA 表单利用。
受影响的版本(1.13 至 3.2.1)可能允许攻击者造成 本地文件读取、网络侦察和 SSRF 如果系统分析恶意 PDF,则几乎不需要用户交互。
由于 Tika 与多个组件(标准解析器、应用程序和服务器)集成,因此它在企业环境中的影响力相当大。 立即更新至版本 3.2.2 这是关闭这一攻击途径的优先措施。
除了补丁之外,建议 验证 PDF 上传 在应用程序中,分段网络以限制影响,并监控与 XML 处理相关的可疑事件。
除了这个具体的警告之外,内化良好做法也很重要: 在 VirusTotal 中进行分析 可疑文件,启用系统扩展视图检查真实类型,警惕压缩附件并保持 PDF 阅读器和更新的系统.
如果您已经打开了可疑文档,请断开互联网连接,执行 使用反恶意软件扫描、审查流程和持久性、更改敏感密码,并在适当的情况下咨询专业人士。
谨慎的习惯、技术措施和及时更新的结合才是关键: 检测早期信号、应用关键补丁并验证来源 每个 PDF 都会大大减少攻击面并确保数据安全。