Специалисты Varonis обнаружили новый инструмент под названием MatrixPDF.
Который превращает привычные PDF-документы в опасные «ловушки» с фишингом и вредоносным ПО.
MatrixPDF позволяет взять легитимный PDF как приманку и прикрепить к нему фишинговые элементы: JavaScript, накладываемые слои (overlay), поддельные «промпты безопасности» и перенаправления.
Пользователь, увидев «заблокированный» или «защищённый» документ в Gmail, может кликнуть кнопку вроде «Открыть документ», после чего будет перенаправлен на вредоносный URL.
Стратегия опасна тем, что сам PDF зачастую проходит проверку почтовыми фильтрами - он не содержит исполняемых вложений, только скрипты и ссылки. Внешняя загрузка вредоносного ПО происходит после взаимодействия пользователя, что помогает обойти защиту Gmail.
MatrixPDF может встроить скрипт, срабатывающий сразу при открытии документа, либо ждать клика пользователя: всё зависит от настроек злоумышленника. Также он даёт возможность изменять визуальное оформление файла: добавлять иконки, логотипы, «затемнять» контент до клика.
Который превращает привычные PDF-документы в опасные «ловушки» с фишингом и вредоносным ПО.
MatrixPDF позволяет взять легитимный PDF как приманку и прикрепить к нему фишинговые элементы: JavaScript, накладываемые слои (overlay), поддельные «промпты безопасности» и перенаправления.
Пользователь, увидев «заблокированный» или «защищённый» документ в Gmail, может кликнуть кнопку вроде «Открыть документ», после чего будет перенаправлен на вредоносный URL.
Стратегия опасна тем, что сам PDF зачастую проходит проверку почтовыми фильтрами - он не содержит исполняемых вложений, только скрипты и ссылки. Внешняя загрузка вредоносного ПО происходит после взаимодействия пользователя, что помогает обойти защиту Gmail.
MatrixPDF может встроить скрипт, срабатывающий сразу при открытии документа, либо ждать клика пользователя: всё зависит от настроек злоумышленника. Также он даёт возможность изменять визуальное оформление файла: добавлять иконки, логотипы, «затемнять» контент до клика.
