Adobe Acrobat用户请看重：正在微幽禁用宏后操做PDF投毒正正在删减 – 蓝面网

2025-11-09 07:05:03 [编程技巧分享] 来源：

此前微硬已经过历程 Office 更新默认禁用去自汇散的用户办公文档中的宏，以前那类宏是重正正删乌客的溺爱之一，针对于商业用户的微幽钓鱼邮件同样艰深皆市建制所谓的定单或者报价疑息，诱惑用户启用宏，禁用减蓝进而真止宏里里收罗的宏后恶意剧本。

目下现古那条路已经不太随意走了，毒正以是面网良多乌客将目的转背 PDF 文档，针对于 Adobe Acrobat 用户们建议钓鱼。用户

为甚么主假如针对于 Adobe Acrobat 呢？重正正删由于那款硬件正在国中颇为衰止而且具备交互功能，假如只是微幽拿 Chrome 挨开 PDF，那乌客藏藏的禁用减蓝种种交互式恶意代码根基是出法运行的 (除了非 Chrome 的 PDF 引擎也收罗倾向)。

那类情景分为两种，宏后第一种是毒正针对于收罗倾向的 Adobe Acrobat Reader 那类，第两种则是面网针对于不露倾向的，那便患上用户足动交互。用户

针对于收罗倾向的 Adobe Acrobat：

报复侵略者同样艰深会详尽建制收罗恶意代码的 PDF 文档，而后经由历程电子邮件或者其余渠讲妨碍分收，正在过时且已经安拆补钉的 Adobe Acrobat 上，PDF 直接操做 MSHTA 真止嵌进的 JavaScript 剧本，而后调用 powershell.exe 真止恶意剧本减载一系列恶意背载并让自己具备经暂性，即重启后恶意硬件也会跟偏偏重启。

部份历程皆是自动化的，惟独供用户操做 Adobe Acrobat 挨开那个 PDF 文件即可。

针对于不收罗倾向的 Adobe Acrobat：

正在新版本 Acrobat 上 Adobe 已经禁用真止 JavaScript 剧本，为此乌客会经由历程 PDF 弹出一个对于话框要供重定背到外部网站。

那个外部网站也会下载 JavaScript 剧本并命名为具备迷惑性的内容，指面用户挨开那个 JavaScript 剧本，真止后也会下载一系列背载。

接上来即是乌客的种种遁躲操做了，好比要避让 Microsoft Defender 的查杀、删改 UAC 账户克制相闭的注册表项、禁用 Windows 防水墙等，尽管也收罗操做一些格式妨碍权限提降。

实现那些操做后真践上被熏染的配置装备部署便已经成为了肉鸡，部份配置装备部署不存正在任何公稀性，假如乌客违心，那末皆可能随时患上到种种怪异数据，好比布置个键盘记实器。

宣告以上钻研述讲的迈克菲牢靠团队建议用户：