警惕 PDF 文件中隐藏的威胁

PDF 文件已成为我们日常数字生活（无论是在工作还是在家）的必需品。它们能够跨操作系统和设备无缝运行，并且创建和共享极其便捷。每天，无数的 PDF（可移植文档格式）文件在收件箱和消息平台之间交换，您很可能已经毫不犹豫地打开过一个这样的文件了。

然而，这一切也在一定程度上使得 PDF 成为各种威胁的完美伪装。乍一看，PDF 文件似乎和数字文件一样安全。肉眼看来，包含恶意软件的 PDF 文件，或者其他以 PDF 为幌子传播的文件类型，与普通的发票、简历或政府表格并无太大区别。

安全研究人员发现，PDF 文件屡屡被用作诱饵，尤其是在大规模社会工程攻击活动中，也出现在APT 组织行动，甚至复杂的零日攻击中。最近的 ESET 遥测数据证实，PDF 是恶意攻击活动中被滥用最多的文件类型之一。


图 1. 主要的恶意电子邮件附件类型（来源：ESET 威胁报告 H1 2025）
披着羊皮的狼
带有陷阱的 PDF 文件通常以电子邮件附件或钓鱼邮件中的链接形式出现，诱骗受害者采取行动。与常见的社会工程学活动一样，这些诱饵经过精心设计，旨在激发受害者的情绪，例如紧迫感（例如“最后通知”）、恐惧感（“账户被暂停”）或好奇心（“测试结果出来了”）。最终目的是让你放松警惕，并使用各种劝诱手段，例如“立即付款”和“立即审核”，迫使你打开文件或点击链接。

攻击技术多种多样，多年来包括：

文件打开时运行的嵌入式脚本，允许攻击者发起各种操作并部署额外的有效载荷。PDF 中的 JavaScript 可以执行合法任务，例如创建交互式表单和自动化流程，但也会被滥用来下载或执行代码。
隐藏或恶意链接： PDF 中包含的链接可以将您重定向到凭证收集页面或提示您下载恶意 ZIP 存档或可执行文件。
利用 PDF 阅读器中的漏洞：格式错误的对象或特制内容可以利用常见 PDF 阅读器易受攻击版本中的错误并导致代码执行，就像ESET 研究人员记录的影响 Adob​​e Reader 的软件漏洞一样。
有些文件伪装成 PDF，但实际上却是脚本、可执行文件，甚至是恶意的 Microsoft Office 文件等，其真实文件扩展名可能被隐藏。虽然您可能会看到一个名为“invoice.pdf”的文件，但点击它实际上会启动一个可执行文件。
说到这，我们今年早些时候报道过一次传播 Grandoreiro 银行木马的攻击活动。该活动首先会发送一封电子邮件，敦促受害者打开一个看似 PDF 格式的文档。实际上，这是一个 ZIP 压缩包，其中包含一个 VBScript 文件，该文件会在设备上释放 Grandoreiro，最终让犯罪分子获取受害者的银行凭证。

图 2. 冒充阿根廷政府机构的钓鱼邮件，其中包含指向 PDF 文件的链接

图 3. 点击图 2 中的链接后进入的网站
如何识别可疑 PDF
那么哪些危险信号应该引起您的高度警惕呢？

该文件的名称或扩展名具有误导性， 例如 invoice.pdf.exe 或 document.pdf.scr 等名称，尤其适用于攻击者广撒网、意图诱捕尽可能多的人的情况。这些文件实际上根本不是 PDF 文件，只是被伪装成 PDF 文件而已。
发件人的电子邮件地址或姓名与文件内容不符。 电子邮件发件人的地址与文档声称的发件机构不同，或者域名拼写错误或可疑。
PDF 被压缩在 ZIP 或 RAR 压缩包中。PDF 以 ZIP 或 RAR 格式发送，这是为了规避电子邮件过滤器的检测。
整个消息都出乎意料，或者听起来“断章取义”。 问问自己：我请求过这个文件吗？我认识发件人吗？他们发给我这个文件合理吗？

图 4. 伪装成 PDF 文件的虚假工作机会（来源：ESET Research）
如果收到可疑 PDF 该怎么办
如果 PDF 出现危险信号，请采取以下预防措施：

抵制立即下载或打开文件的诱惑。 “有疑问就把它踢出去”这句格言在这里很管用。
核实发件人和内容。 在打开可能可疑的附件之前，请通过其他沟通渠道（例如电话）联系发件人，确认他们确实发送了该附件。
检查文件扩展名和大小。 在操作系统中启用“显示文件扩展名”或类似选项，确认文件是真正的.pdf文件（例如，不是.exe文件），并且文件大小合理。
使用您的安全软件扫描该文件（或者，将其上传到 VirusTotal 以快速查看）。
小心打开。如果您必须打开它并且已采取其他预防措施，请使用启用了沙盒或受保护视图功能（例如 Adob​​e 的受保护视图） 的最新 PDF 查看器。
如果你怀疑自己打开了一个可疑的 PDF，该怎么办
断开互联网连接以减少数据泄露或进一步下载有效载荷的机会。
使用更新的安全解决方案对电脑进行全面扫描。如果您没有更新的安全解决方案，可以使用ESET 的免费扫描程序进行一次性检查。
检查正在运行的进程和网络连接是否存在异常。如果您缺乏经验，请聘请专业人员进行调查。
更改密码，尤其是您的财务账户和其他重要账户的密码，特别是当您怀疑您的凭证可能已被盗时 - 但请从下载 PDF 的设备以外的设备进行更改。
向您的 IT/安全团队报告此事件（以防您在工作机器上打开了该文件）。
临别感想
这些经过实践检验的规则将在很大程度上帮助您避免受到可疑 PDF 的侵害：

如果您没有预料到该文件，请不要打开它，至少在没有先检查该文件是否合法的情况下不要打开它。
了解如何识别网络钓鱼诈骗。
由于许多攻击依赖于已知的软件漏洞，因此请保持您的操作系统和所有其他软件（包括 PDF 阅读器）为最新版本。
在您选择的 PDF 阅读器中启用受保护的视图或沙盒模式，并考虑调整或禁用其中的 JavaScript 设置。
在所有设备上使用信誉良好的多层安全软件。
可以肯定地说，网络犯罪分子将继续利用我们对 PDF 的信任。PDF 被用于恶意目的也提醒我们，安全威胁通常不会隐藏在看似可疑的文件中。一条久经考验的规则也适用于此：谨慎对待每一个意外的链接和附件，并依靠值得信赖的工具来保护您的数据和设备。