• 發布單位:TWCERT/CC
• 更新日期:2023-08-31
• 點閱次數:176

日本電腦網路危機處理暨協調中心 (JPCERT/CC) 日前發布資安警訊，指出一種全新駭侵攻擊方式；駭侵者利用嵌入在 PDF 檔中的惡意 Word 檔案來逃避防毒防駭軟體的偵測，成功發動攻擊。

JPCERT/CC 是在 2023 年 7 月開始觀察到利用這種技術發動的資安攻擊案例。該單位分享了一個樣本檔案，是一種集多種檔案格式於一身的特殊檔案，可以同時使用不同的軟體來開啟；多數的防毒防駭軟體，在對該樣本檔案進行掃瞄偵測時，會把該檔案當做是 PDF 檔，但該樣本檔同時也可以由 Microsoft Word 來開啟。

JPCERT/CC 指出，該樣本檔一旦由受害者以 Microsoft Word 開啟，即會執行其內含的 VBS 巨集，並且下載一個含有惡意軟體的 MSI 檔案，安裝在受害者的 Windows 系統中。

資安專家指出，駭侵者經常利用這種多合一格式檔案來放置內含  VBS 惡意巨集程式碼的 Word 檔案，由於掃毒軟體會把這種檔案當成相對無害的 PDF 檔，因此往往能成功避開系統上安裝的資安防護機制。

資安專家分析指出，雖然 JPCERT/CC 沒有進一步公開樣本檔內含的惡意軟體攻擊行為與方式，但一般來說，用戶可以在 Microsoft Office 相關設定中，停用巨集的自動執行功能，這樣就能夠阻止這類多合一格式惡意檔案的執行。

此外，還是有一些如 OLEVBA 之類的資安防護軟體，可以偵測到這類多合一格式的惡意檔案內含的惡意程式碼。

建議使用者避免開啟來路不明的任何檔案，系統管理者也應提防這類攻擊，在布署軟體時強制關閉 Office 巨集的自動執行。