一场极其隐蔽的钓鱼攻击正在通过虚拟硬盘链接伪装成普通PDF文档来传播恶意软件。由于员工习惯接收PDF格式的采购订单或发票，他们很可能会不假思索地打开这些恶意文件，从而使其中包含的恶意软件（本次攻击中为AsyncRAT远程访问木马）得以控制企业计算机。

这场钓鱼攻击的电子邮件并不直接附带文档，而是包含指向托管在IPFS（星际文件系统）上文件的链接。IPFS是一个去中心化存储网络，越来越多地被网络犯罪分子使用，因为它可以通过普通的网络网关访问。这些文件实际上是虚拟硬盘，打开时会挂载为本地磁盘，从而绕过一些Windows安全功能。磁盘内部是一个Windows脚本文件（WSF），伪装成用户期望的PDF文档。当用户打开该文件时，Windows会执行文件中的代码，从而使计算机容易受到远程用户的攻击。

为了保护自己，MalwareBytes实验室在一篇博客文章中建议组织和PC用户应将Windows设置为显示文件扩展名。该实验室将发现Dead#Vax恶意软件攻击活动的功劳归于Securonix公司。

Q&A

Q1：什么是Dead#Vax恶意软件攻击？

A：Dead#Vax是一场钓鱼攻击活动，通过虚拟硬盘链接伪装成普通PDF文档来传播AsyncRAT远程访问木马，攻击者利用员工习惯接收PDF格式文件的特点实施攻击。

Q2：IPFS在这次攻击中起什么作用？

A：IPFS是攻击者用来托管恶意文件的去中心化存储网络。网络犯罪分子越来越多地使用IPFS，因为它可以通过普通网络网关访问，便于传播恶意软件。

Q3：如何防范这种PDF伪装攻击？

A：MalwareBytes实验室建议组织和PC用户应将Windows设置为显示文件扩展名，这样可以帮助用户识别伪装成PDF的恶意脚本文件，避免误点击执行恶意代码。