ابزارMatrixPDF فایل‌های PDF را طعمه‌ فیشینگ و بدافزار می‌کند

ابزار تازه‌ای برای توزیع فیشینگ و بدافزار با نام MatrixPDF شناسایی شده که به مهاجمان امکان می‌دهد فایل‌های PDF را به طعمه‌هایی تبدیل کنند که از سد سامانه‌های امنیتی ایمیل عبور کرده و قربانیان را به دانلود بدافزار و ورود به صفحات جعلی ترغیب کنند.

به گزارش افتانا، شرکت امنیتی Varonis از ظهور یک کیت آماده فیشینگ و توزیع بدافزار به‌نام MatrixPDF خبر داده است؛ ابزاری که به مهاجمان اجازه می‌دهد فایل‌های PDF عادی را به «طعمه‌های تعاملی» تبدیل کنند تا فیلترهای ایمیل را دور بزنند و کاربران را به صفحات سرقت اطلاعات یا دانلود بدافزار هدایت کنند.

فروش و تبلیغ این ابزار ابتدا در انجمن‌های سایبری زیرزمینی رویت شده و توسعه‌دهنده آن همچنین از تلگرام برای ارتباط با خریداران استفاده می‌کند. تبلیغات رسمی سازنده، MatrixPDF را ابزاری برای «شبیه‌سازی فیشینگ» و آموزش آگاهی امنیتی معرفی می‌کند، اما پژوهشگران Varonis می‌گویند که همین قابلیت‌ها به‌سادگی می‌تواند در اختیار بازیگران مخرب قرار گیرد.

روش کار این‌گونه است که مهاجم، یک فایل PDF قانونی را به سازنده MatrixPDF می‌دهد و با رابط کاربری آن، عناصر مخرب را اضافه می‌کند: محتوا را «محو» نشان می‌دهد، پاپ‌آپ‌ها و پیام‌های جعلی می‌سازَد و روی بخش‌هایی از سند جعلی، لایه‌های قابل کلیک می‌گذارد که کاربر را به یک URL خارجی هدایت می‌کنند. این ابزار می‌تواند اقدامات جاوااسکریپتی داخل PDF جاسازی کند که هنگام بازشدن یا کلیک فعال می‌شوند . این اقدامات ممکن است مرورگر را باز کنند و کاربر را به صفحات فیشینگ یا میزبان بدافزار منتقل کنند. سازنده ادعا می‌کند قابلیت‌هایی مانند رمزنگاری متادیتا، مکانیزم هدایت ایمن و دور زدن Gmail را دارد که تحویل این PDFها به صندوق ورودی را قابل اعتمادتر می‌کند. برخی نمایشگرها و نرم‌افزارهای مدرن هنگام تلاش PDF برای اتصال به سایت جعلی، هشدار نشان می‌دهند؛ اما این هشدارها همیشه مانع کلیک کاربران نمی‌شوند.

MatrixPDF در طرح‌های اشتراکی عرضه می‌شود و قیمت‌های اعلام‌شده بین حدود ۴۰۰ دلار در ماه تا ۱,۵۰۰ دلار برای یک سال گزارش شده است. فروشنده در کنار انجمن‌ها، کانال‌های پیام‌رسان مانند تلگرام را نیز برای ارتباط و معامله به کار می‌گیرد.

شرکت‌ها و تیم‌های امنیتی باید توجه کنند که فایل‌های PDF به‌ویژه آن‌هایی که از ارسال‌کننده‌ای ظاهراً قابل‌اعتماد می‌آیند، می‌توانند حامل ترفندهای فیشینگ پیچیده باشند و صرفاً به‌خاطر ظاهر قانونی نباید به آن‌ها اعتماد کرد. راه‌حل‌های پیشرفته امنیت ایمیل (به‌ویژه آن‌هایی که از هوش مصنوعی استفاده می‌کنند) می‌توانند با تحلیل ساختار PDF، شناسایی لایه‌های محو و اعلان‌های جعلی، و اجرای URLهای جاسازی‌شده در یک محیط ایزوله (sandbox) مانع از رسیدن این فایل‌ها به صندوق ورودی شوند. آموزش کاربران درباره پرهیز از کلیک روی لینک‌ها و دکمه‌های داخل PDFهای غیرمنتظره و تذکر در مورد هشدارهای نمایشگرهای PDF می‌تواند از موفقیت حملات بکاهد.

MatrixPDF نمونه دیگری از روندی است که مهاجمان، ابزارهای ساخت حمله را ساده و تجاری می‌کنند؛ اتفاقی که ریسک‌های فیشینگ را برای سازمان‌ها و کاربران عادی افزایش می‌دهد. پژوهشگران و ارائه‌دهندگان خدمات امنیتی هشدار می‌دهند که PDFها وسیله‌ای محبوب برای حملات فیشینگ هستند، زیرا استفاده گسترده‌ای دارند و اغلب در پلتفرم‌های ایمیل، بدون هشدار به کاربر نمایش داده می‌شوند.