根据Barracuda Networks公司研究人员的电子邮件分析发现，在过去12个月检测到的所有恶意文件中，将近半数（48%）涉及某种文档。

该研究中共发现超过300000个独特的恶意文档，研究人员称这表明基于文档的恶意软件的数量出现惊人的增长。

这种趋势似乎仍在继续，2019年第一季度检测到的所有恶意文件中，59%是基于文档，而去年同期为41%。

同时，最近安全公司SonicWall也在其《网络威胁报告》中指出，攻击者越来越多地使用PDF文档和受信任的Microsoft Office文件来规避传统防火墙和沙箱以传播恶意软件。

该报告称，在2018年，研究人员在超过47000个PDF和近51000个Office文件中发现威胁，这代表着一个日益严重的问题，因为大多数安全控制都无法识别和阻止文件中包含的隐藏恶意软件。

在这些基于文档的恶意软件攻击中，网络罪犯使用电子邮件发送包含恶意软件的文档，该文档直接隐藏在文档本身中，或者嵌入脚本从外部网站下载恶意软件。

常见的恶意软件类型包括病毒、特洛伊木马、间谍软件、蠕虫病毒和勒索软件。在2018年12月，安全公司Malw​​arebytes发布威胁报告警告说，名为Emotet的银行木马/下载器/僵尸网络以及其常见的“帮凶”TrickBot主要使用电子邮件分发恶意Office文档，并使用PowerShell下载和启动恶意软件。

这些研究人员表示，大多数恶意软件都是作为垃圾邮件发送给广泛传播的电子邮件列表，这些邮件列表在暗黑网中进行销售、交易、汇总和修改。

然后，这些电子邮件列表用于发送恶意软件，攻击者利用各种社交工程技术诱骗用户打开附加的恶意文档。

一旦文档被打开后，恶意软件将自动安装或使用严重模糊的宏或脚本从外部源下载和安装。

攻击者还会利用链接或其他可点击项目，但研究人员表示，这种方法在网络钓鱼攻击中比恶意软件攻击更常见。

研究人员表示，归档文件和脚本文件是另外两种最常见的基于附件的恶意软件分发方法，并指出攻击者经常使用文件扩展名来欺骗用户并让他们打开恶意文档。

研究人员还指出，现代恶意软件攻击是复杂且分层的，因此需要复杂的系统去检测和阻止它们。为了抵御基于文档和其他恶意软件的攻击，他们表示企业需要确保他们部署了合适的安全技术，包括黑名单、垃圾邮件过滤器、网络钓鱼检测和高级防火墙。

研究人员指出，垃圾邮件发送者越来越多地使用他们自己的基础设施，这意味着他们通常会在足够长的时间使用相同的IP地址，因此安全软件可以检测到垃圾邮件发送者并将其列入黑名单。即使攻击者利用被黑网站和僵尸网络，只要他们发送足够量的垃圾邮件，企业仍然可以暂时根据IP来阻止攻击。

虽然很多恶意电子邮件似乎很可怕，但研究人员表示，垃圾邮件过滤器、网络钓鱼检测系统和相关的安全软件可以获取微妙的线索，并帮助阻止潜在的威胁性邮件和附件到达电子邮件收件箱。

对于附有恶意文档的电子邮件，静态和动态代码分析可以帮助检测试图下载并运行可执行文件的文档，原本这些文档不应该执行任何操作。研究人员表示，可执行文件的网址通常可以使用启发式威胁情报系统进行标记，并补充说，静态分析检测到的混淆也可表明文档是否可疑。

研究人员还表示，如果用户打开恶意附件或点击路过式下载链接，高级网络防火墙可执行恶意软件分析，通过标记可执行文件以阻止攻击。