Investigadores de Varonis han identificado MatrixPDF, un builder comercial que transforma documentos PDF legítimos en señuelos interactivos de phishing. Su eficacia radica en explotar funciones estándar del formato —enlaces, anotaciones y acciones— sin incrustar binarios ejecutables, lo que le permite evadir filtros de correo y derivar a las víctimas hacia páginas de robo de credenciales o cargas de malware.
MatrixPDF: funciones, posicionamiento y precio en el mercado clandestino
Promocionado como “simulador de phishing” para equipos de black team, MatrixPDF fue avistado inicialmente en foros de hacking. El proveedor destaca importación drag-and-drop, previsualización en tiempo real, overlays personalizables y supuestas capas “defensivas” como desenfoque de contenido, redirecciones seguras, cifrado de metadatos y bypass de filtros de Gmail. El acceso se comercializa por 400 dólares al mes o 1.500 dólares al año, reflejando la madurez de un ecosistema de herramientas de phishing listas para usar.
Cadena de ataque: overlays visuales y JavaScript Actions sin binarios
El operador carga un PDF legítimo y superpone elementos visuales: por ejemplo, desenfoca el contenido y añade un botón “Open Secure Document”. Ese overlay mapea a una URI externa donde reside la página de phishing o el descargador. Para aumentar la interacción, el builder aprovecha JavaScript Actions del propio estándar PDF (p. ej., /OpenAction o acciones asociadas a botones) que activan la apertura de enlaces sin necesidad de código ejecutable incrustado.
Entrega en Gmail: por qué los PDF pasan a la bandeja de entrada
Las pruebas observadas por Varonis muestran que los PDF generados con MatrixPDF alcanzan la bandeja de entrada de Gmail. El motivo: el visor integrado no ejecuta JavaScript embebido, pero sí permite clics en hipervínculos y anotaciones. Para el sistema, se trata de una interacción iniciada por el usuario, no de ejecución automática de código. Cuando se configura un auto-open, los visores modernos suelen mostrar advertencias, lo que reduce la tasa de éxito; por ello, la técnica se apoya más en el clic deliberado sobre el overlay.
Por qué el phishing con PDF sigue funcionando
El PDF es un formato altamente confiable en entornos corporativos, se visualiza nativamente en navegadores y suele abrirse sin fricción. Esa familiaridad rebaja la alerta del usuario y eleva la probabilidad de interacción con elementos incrustados. Según el Verizon Data Breach Investigations Report 2024, el factor humano interviene en más de dos tercios de los incidentes, y la ingeniería social —incluido el phishing— permanece entre los vectores iniciales más comunes.
Evasión de filtros: límites de la detección basada en contenido
Los gateways de correo priorizan firmas, macros y adjuntos ejecutables. En MatrixPDF, la lógica maliciosa vive en el sitio web de destino; el PDF contiene “solo” anotaciones y enlaces válidos. Este diseño desplaza la detección a la fase de clic del usuario y al tráfico saliente hacia dominios de baja reputación, complicando el bloqueo en el perímetro del correo.
Cómo mitigar: inspección profunda de PDFs, CDR y control de red
Endurecer la inspección en el gateway de correo. Analizar estructura PDF (Actions como /OpenAction y /AA, /Annot, URIs, formularios). Cuarentenar documentos con enlaces externos, sobre todo a dominios nuevos o de baja reputación.
Aplicar CDR (Content Disarm & Reconstruction). Reconstruir PDFs a variantes “planas” sin contenido activo, eliminando JavaScript, formularios y redirecciones para neutralizar overlays y acciones.
Políticas de visores PDF. Deshabilitar JavaScript, bloquear el auto-open y requerir confirmación para enlaces externos mediante GPO/MDM en clientes corporativos.
Control del tráfico saliente. Filtrar DNS/HTTP(S) con categorías de dominios recién creados y phishing, aplicar inspección TLS según política y monitorizar eventos donde AcroRd32.exe o el navegador establezcan conexiones tras abrir un PDF.
Concienciación del usuario y respuesta. Entrenar para reconocer “documentos seguros” con contenido borroso y botones llamativos. Preparar playbooks de respuesta: retirada de correos, bloqueo de dominios/URLs, intercambio de IOCs y búsqueda retrospectiva en buzones y proxys.
MatrixPDF ilustra cómo los atacantes capitalizan características legítimas del formato PDF para eludir filtros y trasladar el riesgo al clic del usuario. Elevar el listón defensivo exige combinar inspección profunda de adjuntos, CDR, políticas estrictas de visores y controles de salida, apoyados por formación continua. Revisar hoy las políticas de tratamiento de PDFs y las reglas de gateway puede marcar la diferencia en el próximo intento de phishing.
