Când PDF-urile par simple documente, ele pot ascunde mecanisme care transformă un fișier obișnuit într-o capcană digitală: subiectul aici este MatrixPDF, un set de unelte pentru phishing și distribuire de malware observat în mediile cybercriminale și analizat de cercetătorii Varonis.
MatrixPDF și-a făcut apariția inițial pe un forum infracțional cibernetic și, după ce a atras atenția, a fost menționat și pe BleepingComputer. Vânzătorul comunică cu potențialii clienți și prin Telegram. Creatorul prezintă instrumentul ca fiind destinat simulărilor de phishing și exercițiilor red team, însă cercetătorii Varonis arată că pachetul a fost comercializat și pe piețele ilicite. Anunțul promoțional pune în evidență funcții precum import drag-and-drop, previzualizare în timp real și suprapuneri de securitate personalizabile, precum și protecții integrate, estompare a conținutului, mecanisme de redirecționare, criptare a metadatelor și, atenție, o presupusă metodă de evitare a filtrelor Gmail. Prețurile sunt variabile: abonamente lunare în jur de 400 de dolari sau oferte anuale de până la 1.500 de dolari.
Raportul Varonis descrie funcționarea concretă a MatrixPDF: atacatorul încarcă un PDF legitim și adaugă elemente malițioase care nu sunt fișiere executabile, ci elemente interactive. Acestea pot include conținut estompat care sugerează un document protejat, butoane etichetate Open Secure Document și suprapuneri clickabile care direcționează către o adresă externă. De asemenea, pot fi inserate acțiuni JavaScript declanșate la deschidere sau la apăsarea unui buton; scriptul încearcă să acceseze un site extern sau să execute alte acțiuni ostile. În unele situații, simpla deschidere a PDF-ului inițiază o solicitare către un site extern, deși multe vizualizatoare moderne avertizează utilizatorul în astfel de cazuri.
Un punct esențial evidențiat de testele Varonis este capacitatea acestor PDF-uri de a păcăli filtrele Gmail. Motivul: PDF-ul în sine nu conține obiecte binare malițioase, la nivel de fișier nu se găsesc elemente compromise, astfel scanarea automată nu detectează semnăturile caracteristice. Pagina malițioasă este accesată doar după ce utilizatorul face clic, iar browserul efectuează atunci solicitarea, care pare inițiată de utilizator și nu de fișierul scanat anterior. Gmail nu rulează JavaScript din vizualizatorul PDF, dar permite linkuri și anotații clickabile, iar atacatorii exploatează acest comportament pentru a construi un flux aparent legitim.
Tehnicile includ și momeală vizuală: conținut estompat sau mesaje care sugerează o securitate suplimentară și nevoia de autentificare pentru a „deschide” documentul. Un buton atrăgător poate duce la o pagină de phishing destinată furtului de acreditări sau la un site care livrează fișiere cu payload malițios. Varonis subliniază că PDF-urile rămân un vector preferat pentru campanii de phishing tocmai pentru că sunt frecvent folosite în corespondență și multe platforme de email le afișează direct în interfață, fără avertismente clare.
Ca măsură, firmele de securitate recomandă soluții de email bazate pe AI care analizează structura PDF-urilor, detectează suprapunerile tip blur sau ferestre false de securitate și detonează linkurile în medii izolate tip sandbox. Astfel de mecanisme pot identifica comportamente suspecte (de exemplu: linkuri care sunt activate doar la clic sau JavaScript încorporat care încearcă redirecționări) și pot bloca livrarea înainte ca fișierul să ajungă în inboxul victimei.
MatrixPDF evidențiază un trend mai larg: atacatorii recurg la instrumente care mimează unelte legitime de testare pentru a-și crește rata de succes. Diferența între folosirea etică a unui astfel de instrument într-un exercițiu de securitate și utilizarea sa în scopuri malițioase constă în direcția în care sunt îndreptate capabilitățile sale. Atenția la detalii, cum ar fi analiza structurală a PDF-urilor, educația utilizatorilor privind linkurile din documente și testarea periodică a filtrelor de email, rămâne crucială.
MatrixPDF a fost identificat pe forumuri de cybercriminalitate și comercializat prin Telegram, cu prețuri între 400 de dolari pe lună și 1.500 de dolari pe an. Instrumentul transformă un PDF legitim într-unul cu elemente înșelătoare: conținut estompat, butoane Open Secure Document și JavaScript care accesează site-uri externe. Testele Varonis arată că astfel de fișiere pot păcăli filtrele Gmail pentru că nu conțin binare malițioase, iar linkurile sunt accesate doar după interacțiunea utilizatorului. Detectarea eficientă implică analiza structurală a PDF-urilor, detonanța URL-urilor în sandbox și soluții AI care observă suprapunerile false.
Ai dat vreodată peste un PDF în mail care părea „protejat” și te-a rugat să dai click pentru a vedea conținutul?
Fii primul care comentează