钓鱼攻击是一种高度隐蔽且极具欺骗性的网络威胁，攻击者通过伪装成银行、保险公司、税务机构或其他可信机构的官方文件，诱导受害者点击下载恶意文件。而在生活和工作中，电子文档作为常用工具，可能也不会让我们“心生防备”。因此电子文档可以成为网络钓鱼攻击的常用媒介，攻击者可以通过表象的“电子文档”来掩盖快捷方式和隐藏文件夹实际的恶意行为，并且电子文档的复杂性和灵活性也导致恶意代码潜藏很深，难以被普通用户察觉，令个人和企业面临财务损失和数据泄露的风险。

近期，火绒威胁情报中心检测到恶意钓鱼PDF样本攻击量增多，且个别样本通过伪装成快捷方式和隐藏文件夹的方式进行传播。经火绒工程师分析，该木马程序采用双重攻击机制：一方面通过VBS脚本执行Python加载器，另一方面利用“白加黑”技术执行恶意文件，最终部署Cobalt Strike远控后门。建议日常可以通过关注可疑的发件人地址、不寻常的链接或过于紧急的要求来规避此风险。同时技术防护手段也不可或缺，如安装可靠的安全软件，对邮件和文件进行实时扫描和检测，监控异常的网络行为。目前，火绒安全产品已具备对该类恶意钓鱼PDF样本的精准识别与拦截能力，能够有效保障用户系统安全。为了进一步增强系统防护能力，火绒安全建议广大用户及时更新病毒库。这将确保您的系统能够抵御最新威胁，防范潜在安全风险。

查杀图

样本执行流程图如下：

流程图

该样本的初始传播载体是一个压缩包文件，其中包含被设置为受系统保护的隐藏文件夹（+s +h），能够利用快捷方式文件和隐藏的文件夹进行恶意钓鱼攻击。

木马快捷方式利用

默认隐藏受保护文件

显示木马文件夹

执行恶意脚本

1. 调用Python加载Shellcode：首先，此脚本利用系统内的Python环境执行Python Loader。随后，利用Python Loader加载并执行一段Shellcode。该Shellcode用于实现后续操作中木马程序的下载与执行。
2. 利用默认程序打开PDF：为了掩盖其恶意行为，此脚本会调用默认程序打开样本文件中的PDF文件，诱导用户认为当前操作处于正常状态。
3. 启动白加黑木马：接着，此脚本进一步执行“白加黑”木马（即VMwareXferlogs.exe文件）。随后，该木马利用合法程序加载恶意DLL，以绕过安全软件的检测。

libmultiprocessing.vbs脚本

Python程序打包

内存加载恶意代码

解密恶意代码

修复PE

BOF API

反射内存加载

后门分析

时间判断

设置加密算法

获取系统信息

数据加密

字符解密算法

解密配置信息

任务处理

任务号与对应功能

获取进程列表

创建管道CMD执行命令