New MatrixPDF工具包将PDF转变为网络钓鱼与恶意软件诱饵

一种名为MatrixPDF的新型网络钓鱼和恶意软件分发工具包，允许攻击者将普通PDF文件转换为交互式诱饵，绕过电子邮件安全检测，并将受害者重定向至凭证窃取或恶意软件下载页面。

这款新工具由Varonis研究人员发现，他们告诉BleepingComputer，MatrixPDF最初是在一个网络犯罪论坛上被发现的。卖家还使用Telegram作为与买家交互的额外方式。

MatrixPDF的开发者将该工具宣传为网络钓鱼模拟和黑队测试工具。然而，Varonis研究员Daniel Kelley告诉BleepingComputer，它最初是在网络犯罪论坛上提供的。

“MatrixPDF：文档构建器 - 具有JavaScript操作的高级PDF网络钓鱼是一款精英工具，用于为黑队和网络安全意识培训制作逼真的网络钓鱼模拟PDF，“一则分享给BleepingComputer的广告中写道。 “通过拖放PDF导入、实时预览和可定制的安全覆盖层，MatrixPDF提供专业级的网络钓鱼场景。” “内置保护 - 如内容模糊、安全重定向机制、元数据加密和Gmail绕过 - 确保在测试环境中的真实性和可靠交付。”

该工具提供多种定价方案，从每月400美元到全年1,500美元不等。

MatrixPDF网络钓鱼工具包

Varonis的一份新报告解释说，MatrixPDF构建器使攻击者能够上传合法的PDF作为诱饵，然后添加恶意功能，如模糊内容、伪造的"安全文档"提示以及可点击的覆盖层，这些覆盖层会引导至外部有效载荷URL。

MatrixPDF还可以嵌入JavaScript操作，这些操作在用户打开文档或受害者点击按钮时触发。此JavaScript将尝试打开网站或执行其他恶意操作。

模糊内容功能使威胁行为者能够创建看似包含受保护的模糊内容并包含"打开安全文档"按钮的PDF。点击文档会打开一个可用于托管网络钓鱼页面或分发恶意软件的网站。

Varonis的一项测试演示了恶意PDF如何能够发送到Gmail账户，绕过网络钓鱼过滤器。这是因为生成的PDF不包含恶意二进制文件，仅包含外部链接。 “Gmail的PDF查看器不执行PDF JavaScript，但允许可点击的链接/注释，“Varonis解释道。 “因此，攻击者的PDF被创建为按钮按下仅会在用户的浏览器中打开外部站点。这种有些巧妙的设计绕过了Gmail的安全机制：对PDF本身的任何恶意软件扫描都找不到罪证，实际的恶意内容仅在用户主动点击时获取，对Gmail来说这像是用户发起的网络请求。”

另一个演示展示了仅打开恶意PDF就会尝试打开外部站点。此功能有些受限，因为现代PDF查看器会警告用户PDF正尝试连接到远程站点。

Varonis警告说，PDF是网络钓鱼攻击的常用载体，因为它们被广泛使用，并且电子邮件平台可以在没有警告的情况下显示它们。

该公司表示，AI驱动的电子邮件安全通过分析PDF结构、检测模糊覆盖层和虚假提示，并在沙箱中引爆嵌入的URL，可以帮助阻止这些文件到达目标的收件箱。