Изследователи от Varonis идентифицираха нова фишинг и зловредна платформа, наречена MatrixPDF, която позволява на атакуващите да превръщат обикновени PDF документи в интерактивни примамки, способни да заобиколят стандартните защити на имейл системите.
Как работи MatrixPDF
MatrixPDF позволява на нападателите да качат легитимен PDF файл и да добавят:
-
Размазано съдържание („blurred content“) за симулиране на защитени документи.
-
Фалшиви бутони „Open Secure Document“, които пренасочват потребителите към злонамерени сайтове.
-
Вградени JavaScript действия, активиращи се при отваряне на документа или кликване върху бутон, които могат да отварят сайтове за кражба на идентификационни данни или за разпространение на зловреден софтуер.
MatrixPDF разчита на особеностите на PDF формата и начина, по който Gmail и други имейл платформи обработват PDF файлове. Тъй като злонамерените PDF-и не съдържат вътрешни изпълними файлове, а само външни връзки, те успяват да преминат през стандартните скенери за вируси и фишинг.
Комерсиална дистрибуция
Инструментът се предлага на киберпрестъпни форуми и чрез Telegram и се рекламира като средство за симулации на фишинг атаки и обучение за киберсигурност. Цените варират от 400 USD на месец до 1,500 USD за годишен лиценз.
Защо е опасен
PDF файловете са широко използван формат, което ги прави атрактивен канал за атаки. Използването на интерактивни бутони и размазано съдържание позволява на атакуващите да създадат убедителни примамки, които потребителите могат да отворят, без да подозират риск.
Varonis препоръчва AI-базирани имейл защити, които анализират структурата на PDF файловете, откриват размазани слоеве и фалшиви сигнали за безопасност, и изпълняват връзките в изолирана среда (sandbox), за да блокират такива атаки още преди да достигнат до потребителя.
