Кіберзлочинці дедалі частіше використовують легальні можливості формату PDF для фішингу. Дослідники Varonis повідомляють про MatrixPDF — комерційний білдер, що перетворює звичайні документи на інтерактивні приманки. Такі файли успішно проходять поштові шлюзи, зокрема Gmail, і перенаправляють користувачів на сайти викрадення облікових даних або завантаження шкідливого ПЗ — без вбудовування виконуваних компонентів.
MatrixPDF: можливості, позиціонування та ціноутворення
MatrixPDF рекламується як «фішинговий симулятор» і інструмент для black team, однак уперше був помічений на хакерських форумах. Серед функцій заявлені drag‑and‑drop імпорт PDF, передперегляд у реальному часі, настроювані оверлеї та вбудовані «захисні» механізми: розмиття контенту, «безпечні» редиректи, шифрування метаданих і обхід фільтрів Gmail. Вартість — від $400/міс до $1500/рік.
Від оверлеїв до JavaScript Actions: як формується атака
Сценарій передбачає завантаження легітимного PDF, поверх якого додають графічний шар з розмиттям і кнопкою на кшталт «Open Secure Document». Клік по такому оверлею запускає перехід на зовнішній URL з фішинговою сторінкою або завантажувачем малварі. Додатково використовується JavaScript Actions, що можуть спрацьовувати при відкритті файлу або натисканні кнопки. Ключовий момент: застосовуються стандартні дії PDF (наприклад, відкриття посилання), тож немає потреби вбудовувати виконуваний код.
Чому PDF з MatrixPDF проходять фільтри Gmail
Тести показали, що сформовані MatrixPDF вкладення доставляються у вхідні Gmail. Причина проста: документ містить лише гіперпосилання та анотації. Вбудований переглядач Gmail не виконує JavaScript у PDF, проте дозволяє переходити за посиланнями. Для поштового шлюзу це виглядає як ініційована користувачем веб-активність, а не автозапуск коду. Спроби використати автодії при відкритті (наприклад, через /OpenAction) частіше викликають попередження сучасних PDF‑клієнтів, що знижує конверсію атаки.
Ефективність PDF‑фішингу: роль людського фактора
PDF — один із найдовіреніших форматів у діловому середовищі: він коректно відображається на більшості платформ і часто відкривається прямо в браузері. Це зменшує пильність і збільшує імовірність кліків по вбудованих елементах. За даними Verizon Data Breach Investigations Report 2024, понад дві третини інцидентів так чи інакше залучають користувача; фішинг і соціальна інженерія стабільно входять у топ стартових векторів компрометації.
Обхід захисту та обмеження детекції на шлюзах
Традиційні поштові фільтри орієнтовані на виявлення вкладених виконуваних файлів, макросів і сигнатур відомих загроз. У випадку MatrixPDF шкідлива логіка винесена на зовнішній веб‑ресурс, а сам документ містить «нешкідливі» анотації та URI‑посилання. Це ускладнює первинне виявлення та зсуває момент детекції на етап кліку користувача або мережевого звернення до домену зловмисника.
Практичні кроки захисту від фішингу через PDF
Поглиблена інспекція PDF на шлюзі. Увімкніть розбір структури та правил: /OpenAction, /AA, /Annot, URI‑посилання, кнопки форм. Карантиніть документи з зовнішніми URL, особливо до нових або низькорепутаційних доменів.
CDR (Content Disarm & Reconstruction). Перезбирайте файли у «плоскі» варіанти без активного контенту, видаляючи JavaScript, форми й перенаправлення, зберігаючи при цьому читабельність документа.
Політики PDF‑переглядачів. Вимкніть JavaScript, забороніть автозапуск дій і обмежте переходи за зовнішніми посиланнями через GPO/MDM. Налаштуйте явні попередження та підтвердження для відкриття URL із PDF.
Мережевий контроль і моніторинг. Застосовуйте фільтрацію DNS/HTTP(S) із блокуванням категорій «newly registered domains» та «phishing», за потреби — TLS‑інспекцію. Відслідковуйте події, коли AcroRd32.exe або браузер запускаються з процесу PDF і встановлюють зовнішні з’єднання.
Підвищення обізнаності користувачів. Регулярні тренінги й симуляції фішингу допоможуть розпізнавати «захищені документи» з розмитим вмістом і нав’язливими кнопками «Open/Access secure document».
Готовність до інцидентів. Забезпечте швидке відкликання листів, репутаційне блокування доменів/URL, обмін IOC у SOC, ретроспективний пошук у поштових скриньках і проксі‑логах для ідентифікації постраждалих.
MatrixPDF демонструє, як зловмисники експлуатують штатні можливості PDF, переводячи атаку в площину користувацького кліку. Щоб мінімізувати ризики, поєднуйте поглиблену інспекцію вкладень, CDR і політики застосунків із проактивним мережевим контролем та навчанням персоналу. Перевірте налаштування шлюзів на виявлення /OpenAction і URI, оновіть плейбуки реагування та проведіть цільові вправи з фішингу — це суттєво знизить шанси успішної атаки через PDF.
