Исследователи Varonis предупреждают о появлении MatrixPDF — коммерческого билдера, который превращает легитимные PDF-документы в интерактивные фишинговые приманки. Такие файлы обходят проверку почтовых шлюзов и перенаправляют пользователей на сайты кражи учетных данных или загрузки вредоносного ПО, используя стандартные возможности PDF без внедрения исполняемых бинарных объектов.
MatrixPDF: функциональность и модель распространения
По данным Varonis, MatrixPDF рекламируется как «фишинговый симулятор» и решение для специалистов black team, однако впервые инструмент замечен на хакерских форумах. В рекламе подчеркиваются drag-and-drop импорт PDF, предпросмотр в реальном времени, настраиваемые оверлеи и встроенные «защитные» механизмы: размытие содержимого, безопасные перенаправления, шифрование метаданных и заявленный обход фильтров Gmail. Стоимость инструментария варьируется от $400 в месяц до $1500 в год.
Как формируется атака: от оверлеев до JavaScript Actions
Билдер позволяет загрузить легитимный PDF и добавить поверх него визуальные элементы — например, размыть исходное содержимое и поместить кнопку «Open Secure Document» с кликабельным оверлеем. Нажатие по оверлею инициирует переход на внешний URL, где размещена фишинговая страница или загрузчик малвари. Дополнительно используется JavaScript Actions, срабатывающий при открытии документа или нажатии кнопки: стандартные действия PDF (например, открытие ссылки) могут запускаться без внедрения исполняемого кода.
Почему Gmail пропускает такие вложения
Тесты показали, что PDF, собранные MatrixPDF, доставляются во входящие Gmail. Причина в том, что файл содержит лишь внешние ссылки и аннотации: встроенный просмотрщик Gmail не выполняет JavaScript в PDF, но позволяет переходить по гиперссылкам и элементам-аннотациям. Для системы это выглядит как инициированный пользователем веб-запрос, а не автоматическое выполнение вредоносного кода. При этом сценарий с автозапуском действия при открытии файла чаще наталкивается на предупреждение в современных PDF-просмотрщиках, что снижает его конверсию.
Почему фишинг через PDF по‑прежнему эффективен
PDF — один из самых доверенных форматов в деловой переписке, корректно отображается на большинстве платформ и нередко открывается прямо в браузере. Это снижает настороженность пользователей и повышает вероятность кликов по встроенным элементам. По данным отраслевых отчетов, включая Verizon Data Breach Investigations Report 2024, человеческий фактор остается ключевым вектором инцидентов — более двух третей нарушений вовлекают пользователя, а социальная инженерия и фишинг стабильно входят в топ начальных способов компрометации.
Обход фильтров и ограничения детектирования
Классические почтовые фильтры ориентированы на поиск вложенных исполняемых объектов, вредоносных макросов и известных сигнатур. В случае MatrixPDF вредоносная логика вынесена во внешний веб‑ресурс, а в самом PDF остаются «безобидные» ссылки и аннотации. Такой дизайн усложняет первичное обнаружение и переносит точку детектирования на стадию пользовательского клика или сетевого запроса к домену злоумышленника.
Рекомендации по снижению рисков
Усилить анализ PDF на шлюзе. Включить распаковку и инспекцию структур PDF: Actions (/OpenAction, /AA), аннотации (/Annot), URI‑ссылки, кнопки форм. Блокировать или помещать в карантин документы с внешними ссылками, особенно к новым или низко-репутационным доменам.
Применять CDR (Content Disarm & Reconstruction). Пересобирать PDF во «flate»‑варианты без активного содержимого, удаляя JavaScript, формы и перенаправления.
Политики PDF‑просмотрщиков. Отключить JavaScript в корпоративных PDF‑клиентах, запретить автозапуск действий и ограничить переходы по внешним ссылкам политиками GPO/MDM.
Контроль сетевых выходов. Фильтрация DNS/HTTP(S) с блокировкой категорий «новые домены» и «фишинг», а также TLS‑инспекция по политике. Мониторинг событий, когда AcroRd32.exe или браузер открываются напрямую из PDF‑процесса и устанавливают внешние соединения.
Пользовательская осведомленность. Регулярные тренинги и симуляции фишинга: обращать внимание на «защищенные документы» с размытым содержимым и навязчивыми кнопками «Open/Access secure document».
Процесс реагирования. Быстрая отзывность писем, репутационный бан доменов/URL, IOC‑шары в SOC, ретроспективный поиск по почтовым ящикам и прокси‑логам для выявления пострадавших.
MatrixPDF показывает, как злоумышленники используют штатные возможности PDF для обхода классических фильтров и смещения атаки в плоскость «кликов пользователя». Организациям следует сочетать углубленную инспекцию вложений, CDR и политики приложений с проактивным сетевым контролем и обучением сотрудников. Чем меньше доверия к «защищенным документам» с внешними переходами и чем лучше настроены технические барьеры, тем ниже шансы, что такой инструмент принесет результат атакующим.
