舊文件類型，新伎倆：攻擊者將日常文件變成武器駭客協助論壇網來自暗網的黑客技術服務

舊文件類型，新伎倆：攻擊者將日常文件變成武器

攻擊者正在尋找新的方法，融入日常業務工具，將其活動隱藏在員工和 IT 團隊通常信任的格式和流程中。 HP Wolf Security 最新的季度威脅洞察報告揭示了攻擊者如何不斷調整策略，使防禦措施更難跟上。

靠土地生存以保持隱秘

2025 年第二季觀察到的最引人注目的攻擊活動之一涉及 XWorm 遠端存取木馬。攻擊者並非僅依賴自訂惡意軟體，而是將多個 Windows 內建工具串連在一起。這些所謂的「自生自滅」二進位檔案允許他們執行命令、複製檔案並解碼隱藏的有效載荷，而不會觸發太多警報。

2025 年惡意軟體傳播趨勢

XWorm 設定（資料來源：HP Wolf Security）

最終的 XWorm 有效載荷隱藏在從受信任網站下載的合法圖像的像素中。 PowerShell 腳本提取了隱藏的數據，然後微軟工具 MSBuild 運行了該惡意軟體。感染完成後，攻擊者已經獲得了遠端存取權限並能夠竊取數據，其中大部分工作由系統中已有的程式完成。

眾所周知，對於安全團隊來說，使用「離地攻擊」技術非常困難，因為很難區分紅綠燈——也就是合法活動與攻擊。你陷入了進退維谷的境地——要么鎖定活動，為用戶和SOC（安全運營中心）的工單製造阻力，要么放任不管，讓攻擊者有機可乘。即使是最好的檢測手段也會漏掉一些威脅，因此，透過遏制和隔離措施進行縱深防禦對於在攻擊造成危害之前將其攔截至關重要，」惠普公司個人系統安全全球主管伊恩·普拉特博士說道。

發票和偽造文件仍然有效

網路釣魚電子郵件仍然是主要的傳播方式，佔到達終端的威脅的 61%。攻擊者不斷改進其使用文件格式作為誘餌的方式。

一項活動使用逼真的發票主題電子郵件誘騙收件者開啟 SVG 附件。附件會顯示逼真的 Adobe Acrobat 模仿版本，並附有動畫和進度條，然後提示使用者下載惡意軟體。隨後的腳本是一個輕量級的反向 shell，為攻擊者提供命令執行和資料收集功能。

另一波網路釣魚攻擊利用了PDF附件，這些附件顯示帶有下載按鈕的模糊發票。此連結指向隱藏在ZIP檔案中的惡意Visual Basic編碼腳本。該腳本將惡意軟體的關鍵部分直接儲存在Windows登錄中，使檢測更加困難。最終的有效載荷是MassLogger，這是一個能夠捕獲擊鍵和瀏覽器資料的憑證竊取程式。在某些情況下，如果受害者在法國，攻擊者還會部署一個名為ModiRAT的二級遠端存取木馬。

舊文件類型重新出現

報告還描述了攻擊者如何重新利用許多用戶如今很少見到的格式。曾經用於 Windows 應用程式手冊的編譯型 HTML 說明檔案現在被用作傳播惡意軟體的武器。這些文件支援腳本，使其成為多階段感染的容器。在觀察到的攻擊活動中，開啟偽裝成專案文件的說明文件會觸發腳本，最終導致 XWorm 感染。

快捷方式檔案 (LNK) 也捲土重來。在一個案例中，它們被偽裝成 PDF 文件，藏匿於透過釣魚郵件發送的 ZIP 壓縮包中。該快捷方式並沒有打開文檔，而是執行了惡意程式碼，安裝了 Remcos 遠端存取木馬。攻擊者將最終的有效負載隱藏在舊的程式資訊檔案 (PIF) 格式中，進一步降低了使用者或工具捕獲該負載的幾率。

Lumma Stealer 倖存下來

即使執法部門採取了行動，也未能阻止一些業者。 Lumma Stealer於 2025 年 5 月在國際打擊行動中被攔截，該行動奪取了其大部分基礎設施。然而，傳播該惡意軟體的活動在 6 月仍在繼續，攻擊者轉向了新的伺服器和攻擊方法。

其中一個傳播鏈涉及附加在釣魚郵件中的 IMG 壓縮包。打開這些壓縮包後，Windows 會將其視為虛擬驅動器，並向使用者呈現一個偽裝成發票的 HTML 應用程式檔案。這最終導致執行混淆的 PowerShell 程式碼，該程式碼解壓縮並在記憶體中執行 Lumma Stealer，從而繞過基於磁碟的偵測。

威脅傳播趨勢

2025年第二季度，檔案文件是主要的傳播方式，佔觀察到的威脅的40%。腳本和可執行檔緊隨其後，佔35%。 Word、Excel和PDF等文件格式所佔比例較小，但仍然很重要。

調查結果顯示，攻擊者持續輪調使用不同類型的文件，選擇最有可能在不被標記的情況下感染使用者的文件類型。甚至像.chm幫助文件和PIF可執行文件這樣的老舊格式也在當前的攻擊活動中煥發新生。

這對防守者意味著什麼

報告顯示，攻擊者正努力融入合法活動。透過將惡意軟體隱藏在受信任的檔案格式、依賴內建系統工具以及使用逼真的誘餌，攻擊者降低了被早期發現的幾率。

對於防禦者來說，這意味著不僅僅要注意文件簽名和基本過濾。專注於行為、持久化技術和系統工具濫用的偵測策略變得越來越重要。

這裡描述的活動表明，當熟悉的工具和檔案類型可以變成武器時，攻擊者不需要高級惡意軟體。

攻擊者並非在重複造輪子，而是在不斷改進技術。 Living-off-the-land、反向shell和網路釣魚已經存在了幾十年，但如今的威脅行為者正在不斷改進這些方法。我們看到越來越多的Living-off-the-land工具被串聯起來，並使用圖像等不太明顯的文件類型來逃避檢測。以反向shell為例——你無需植入一個功能齊全的遠端存取木馬（RAT），一個簡單、輕量級的腳本就能達到相同的效果。它簡單、快速，而且由於其基礎性，經常被忽視，」惠普安全實驗室首席威脅研究員Alex Holland指出。