内容摘要：此前微軟已經通過Office更新默認禁用來自網絡的辦公文檔中的宏，以前這類宏是黑客的鍾愛之一，針對商業用戶的釣魚郵件通常都會製作所謂的訂單或者報價信息，誘導用戶啟用宏，進而執行宏裏麵包含的惡意腳本。現

此前微軟已經通過 Office 更新默認禁用來自網絡的辦公文檔中的宏，以前這類宏是黑客的鍾愛之一，針對商業用戶的釣魚郵件通常都會製作所謂的訂單或者報價信息，誘導用戶啟用宏，進而執行宏裏麵包含的惡意腳本。

現在這條路已經不太容易走了，所以不少黑客將目標轉向 PDF 文檔，針對 Adobe Acrobat 用戶們發起釣魚。

為什麽主要是針對 Adobe Acrobat 呢？因為這款軟件在國外非常流行並且具有交互功能，如果隻是拿 Chrome 打開 PDF，那黑客暗藏的各種交互式惡意代碼基本是無法運行的 (除非 Chrome 的 PDF 引擎也包含漏洞)。

這種情況分為兩種，第一種是針對包含漏洞的 Adobe Acrobat Reader 這類，第二種則是針對不含漏洞的，那就得用戶手動交互。

針對包含漏洞的 Adobe Acrobat：

攻擊者一般會精心製作包含惡意代碼的 PDF 文檔，然後通過電子郵件或其他渠道進行分發，在過時且未安裝補丁的 Adobe Acrobat 上，PDF 直接使用 MSHTA 執行嵌入的 JavaScript 腳本，然後調用 powershell.exe 執行惡意腳本加載一係列惡意負載並讓自己具有持久性，即重啟後惡意軟件也會跟著重啟。

整個過程都是自動化的，隻需要用戶使用 Adobe Acrobat 打開這個 PDF 文件即可。

針對不包含漏洞的 Adobe Acrobat：

在新版本 Acrobat 上 Adobe 已經禁用執行 JavaScript 腳本，為此黑客會通過 PDF 彈出一個對話框要求重定向到外部網站。

這個外部網站也會下載 JavaScript 腳本並命名為具有誘導性的內容，引導用戶打開這個 JavaScript 腳本，執行後也會下載一係列負載。

接下來就是黑客的各種躲避操作了，例如要規避 Microsoft Defender 的查殺、修改 UAC 賬戶控製相關的注冊表項、禁用 Windows 防火牆等，當然也包括利用一些方式進行權限提升。

完成這些操作後實際上被感染的設備就已經成了肉雞，整個設備不存在任何私密性，如果黑客願意，那麽都可以隨時獲取各種機密數據，比如安插個鍵盤記錄器。

發布以上研究報告的邁克菲安全團隊建議用戶：

• 驗證電子郵件發件人信息
• 點擊鏈接和看到警告時請三思而行
• 檢查拚寫和語法錯誤
• 謹慎對待電子郵件中的內容
• 驗證異常請求
• 使用電子郵件垃圾過濾器
• 檢查 HTTPS 連接
• 刪除可疑電子郵件
• 保持 Windows 和安全軟件為最新版
• 使用最新且已經修複的 Adobe Acrobat Reader