Forscher von Varonis warnen vor MatrixPDF, einem kommerziellen Builder, der legitime PDF-Dokumente in interaktive Phishing-Köder verwandelt. Die generierten Dateien umgehen gängige E-Mail-Gateways und führen Nutzer auf Seiten zur Kontendaten-Exfiltration oder zur Malware-Auslieferung – ohne eingebettete Binärdateien, sondern ausschließlich über reguläre PDF-Funktionen.
MatrixPDF: Funktionsumfang, Positionierung und Preisgestaltung
Laut Varonis wird MatrixPDF als „Phishing-Simulator“ und Tool für Black-Teams beworben, tauchte jedoch zunächst auf Untergrundforen auf. Die Vermarktung hebt hervor: Drag-and-Drop-Import legitimer PDFs, Echtzeit-Vorschau, konfigurierbare Overlays (z. B. Buttons) sowie „Schutzmechanismen“ wie Blur-Effekte, „sichere“ Weiterleitungen, Metadaten-Verschlüsselung und einen angeblichen Gmail-Bypass. Der Builder wird zu 400 US-Dollar/Monat bzw. 1.500 US-Dollar/Jahr angeboten.
Angriffsablauf: Overlays, Links und JavaScript Actions
In der Praxis laden Angreifer ein seriöses PDF, legen ein Overlay darüber (etwa „Open Secure Document“) und blenden den Originalinhalt aus. Der Klick auf die Schaltfläche triggert eine Weiterleitung auf eine externe URL, wo eine Phishing-Seite oder ein Loader bereitsteht. Zusätzlich kommen PDF-JavaScript-Actions und Standardaktionen zum Einsatz (z. B. Linkaufrufe), die beim Öffnen des Dokuments oder beim Klick ausgelöst werden – ohne dass ausführbarer Code in das PDF eingebettet werden muss.
Warum Gmail-Anhänge passieren: Nutzerinteraktion statt Autocode
Tests zeigen, dass MatrixPDF-generierte Dateien in Gmail-Postfächern zugestellt werden. Grund: Der Inhalt besteht aus Hyperlinks und Anmerkungen (Annotations); der Gmail-Viewer führt kein eingebettetes JavaScript aus, erlaubt aber das Öffnen von Links. Für Gateways wirkt dies wie ein nutzerinitiierter Webaufruf, nicht wie automatisierte Codeausführung. Autostart-Events werden in modernen PDF-Viewern zudem häufig mit Warnhinweisen belegt, was die Erfolgsquote mindert – daher setzen Angreifer auf klickbasierte Interaktionen.
Warum PDF-Phishing weiterhin konvertiert
PDF gilt im geschäftlichen Umfeld als vertrauenswürdiges Format, wird plattformübergreifend sauber dargestellt und oft direkt im Browser geöffnet. Das reduziert Misstrauen und erhöht die Klickbereitschaft auf eingebettete Elemente. Der Verizon Data Breach Investigations Report 2024 führt aus, dass der Human Factor in 68 % der Vorfälle eine Rolle spielt; Social Engineering und Phishing zählen zu den häufigsten Initialvektoren. Diese Kombination macht PDF-basiertes Social Engineering weiterhin wirkungsvoll.
Umgehung klassischer Filter: Logik ins Web verlagert
Traditionelle E-Mail-Filter fokussieren auf ausführbare Anhänge, Makros und bekannte Signaturen. Bei MatrixPDF liegt die schädliche Logik auf externen Zielseiten, während das Dokument nur vermeintlich harmlose Links/Annotations enthält. Detektion verschiebt sich damit auf den Klickmoment oder die Netzwerkebene (z. B. DNS/HTTPS-Abfrage zum Angreifer-Domain).
Empfehlungen: Technik, Prozesse und Awareness kombinieren
Vertiefte PDF-Inspektion am E-Mail-Gateway: Analyse von PDF-Strukturen wie Actions (/OpenAction, /AA), Annotations (/Annot), URI-Links und Formular-Buttons. Dokumente mit externen Links – insbesondere zu neuen oder reputationsschwachen Domains – blockieren oder in Quarantäne verschieben.
Content Disarm & Reconstruction (CDR): PDFs in „flache“ Varianten ohne aktiven Inhalt konvertieren; JavaScript, Formulare und Weiterleitungen entfernen, um Klickpfade zu neutralisieren.
Härtung von PDF-Viewern: JavaScript deaktivieren, Autostart-Aktionen verbieten und externe Linkaufrufe einschränken (z. B. über GPO/MDM). Warndialoge erzwingen, wenn Dokumente externe Ziele öffnen wollen.
Ausgehende Verbindungen kontrollieren: DNS/HTTP(S)-Filter auf Kategorien wie „neue Domains“ und „Phishing“ anwenden; TLS-Inspektion gemäß Richtlinie. Telemetrie nutzen, um zu erkennen, wenn AcroRd32.exe oder der Browser unmittelbar aus einem PDF-Prozess heraus externe Sessions startet.
Awareness und Phishing-Simulationen: Mitarbeitende gezielt auf „geschützte Dokumente“ mit unscharfem Inhalt und prominenten „Open/Access secure document“-Buttons sensibilisieren. Verdächtige PDFs konsequent melden statt anklicken.
Schnelle Incident Response: Rückruf verdächtiger E-Mails, Domain/URL-Blocklisten aktualisieren, IOCs mit dem SOC teilen, rückwirkende Suche in Mailboxen und Proxy-Logs, um Betroffene rasch zu identifizieren.
MatrixPDF demonstriert, wie Angreifer legitime PDF-Funktionen ausnutzen, um Erkennungsschichten zu umgehen und Angriffe in die Sphäre der Nutzerinteraktion zu verlagern. Organisationen reduzieren das Risiko signifikant, wenn sie tiefgehende Anhangsprüfung, CDR, Viewer-Policies und Netzwerkkontrollen mit kontinuierlicher Schulung kombinieren. Jetzt ist der richtige Zeitpunkt, PDF-Richtlinien zu schärfen, Gateways nachzujustieren und Monitoring-Use-Cases zu ergänzen – bevor der nächste „sichere Anhang“ angeklickt wird.
