A Varonis kiberbiztonsági kutatói azonosították a MatrixPDF nevű új adathalász- és malware-terjesztő készletet, amely segítségével a támadók PDF-fájlokat interaktív, megtévesztő dokumentumokká alakítanak. Ezzel megkerülik az e-mail biztonsági ellenőrzéseket és az áldozatokat hitelesítő adatok eltulajdonítását lehetővé tévő weboldalakra vagy rosszindulatú programok letöltése felé irányítják.
A Varonis új jelentése szerint a MatrixPDF szerkesztő lehetővé teszi a támadók számára, hogy egy legitim PDF fájlt töltsenek be a programba, majd pedig kártékony elemeket adjanak hozzá, például elmosódott tartalmat, hamis “Secure Document” felugró üzeneteket és kattintható rétegeket, amelyek egy külső payload URL címére vezetnek.
A MatrixPDF képes olyan JavaScript műveletek beágyazására is, amelyek a dokumentum megnyitásakor vagy a felhasználó által megnyomott gomb hatására aktiválódnak. Ez a JavaScript megkísérelheti egy weboldal megnyitását vagy más kártékony műveleteket végrehajtását.
Az elmosódott tartalom funkció lehetővé teszi a támadó számára, hogy olyan PDF-eket hozzon létre, amelyek úgy tűnnek, mintha védett, elhomályosított információkat tartalmaznának, és rajtuk egy “Open Secure Document” gomb is található. A gombra kattintás egy olyan weboldalt nyit meg, amely adathalász oldalak tárolására vagy kártevők terjesztésére használható.
A Varonis által végzett teszt bemutatta, hogyan lehetett a rosszindulatú PDF fájlokat elküldeni Gmail-fiókokba, anélkül, hogy az adathalász szűrők kiszűrték volna azokat. Ennek az az oka, hogy a generált PDF-ek nem tartalmaztak rosszindulatú bináris fájlokat, csak külső hivatkozásokat.
Egy másik tesztben megmutatták azt is, hogy már a rosszindulatú PDF megnyitásakor is megpróbálhat betölteni egy külső weboldalt. Ez a funkció azonban korlátozott, mivel a modern PDF megjelenítők figyelmeztetik a felhasználót, hogy a PDF egy távoli webhelyhez próbál csatlakozni.
Varonis arra figyelmezteti a felhasználókat, hogy a PDF-ek különösen népszerű eszközök az adathalász támadásoknál.
A vállalat szerint a MI által vezérelt e-mail biztonsági megoldások, amelyek képesek elemezni a PDF-ek szerkezetét, felismerik az elmosódott rétegeket és a hamis felugró üzeneteket, valamint sandboxban vizsgálni a beágyazott URL-eket, segíthetnek megakadályozni, hogy ezek a fájlok ne jussanak el a célpontok fiókjába.
