02/10/25
Эти файлы способны обходить почтовые фильтры и перенаправлять жертв на сайты для кражи учётных данных или загрузки вредоносного ПО. Впервые MatrixPDF был замечен на одном из киберпреступных форумов, где автор распространял его с помощью Telegram.
Разработчик позиционирует MatrixPDF как инструмент для «фишинговых симуляций» и работы «чёрных команд» в рамках имитационного тестирования, пишет Securitylab. Однако, по данным Varonis, на практике утилита используется для создания настоящих атакующих сценариев, при этом сама реклама инструмента подчёркивает его профессиональные функции: импорт PDF методом перетаскивания, предварительный просмотр в реальном времени, настройка интерфейса и визуальных элементов, включая подложки с размытым содержимым и интерактивные кнопки.
Особое внимание в MatrixPDF уделяется обходу защит. Инструмент позволяет внедрять в PDF-документы действия на JavaScript, которые срабатывают при открытии файла или при нажатии пользователем на определённые элементы. Например, вместо стандартного текста может отображаться размытое поле с кнопкой «Открыть защищённый документ». Нажатие на неё ведёт к внешнему ресурсу, на котором развёрнут фишинговый сайт или размещён вредоносный загрузчик.
MatrixPDF также предлагает встроенные методы маскировки: шифрование метаданных, механизм перенаправления с проверкой подлинности и даже возможность обхода Gmail-фильтров. Исследование Varonis показало, что такие PDF-файлы действительно доставляются во входящие Gmail-аккаунтов, поскольку не содержат исполняемых файлов — только ссылки. Внутри просмотра Gmail, JavaScript не запускается, но кликабельные элементы активны, что делает атаку особенно эффективной. Злоумышленник создаёт PDF так, чтобы кнопка выглядела как ожидаемый элемент, а переход по ней воспринимался Gmail как действие пользователя, а не вредоносная активность.
Varonis также показала демонстрацию, в которой сам факт открытия PDF уже инициирует попытку подключения к удалённому ресурсу. Хотя современные ридеры предупреждают о подобной активности, она не всегда останавливает пользователя — особенно если документ визуально оформлен как официальный или защищённый файл.
MatrixPDF распространяется по подписке: от 400 долларов в месяц до 1500 долларов за годовой доступ. На форумах указывается, что набор активно поддерживается и получает обновления, что делает его привлекательным для киберпреступников, желающих автоматизировать фишинг под видом легитимной документации.
PDF-документы остаются одним из самых популярных носителей при фишинговых атаках. Их повсеместное использование и доверие со стороны пользователей, а также отсутствие системных предупреждений при открытии, делают этот формат идеальной оболочкой для вредоносных вложений. Даже если документ сам по себе «чистый», встроенные переходы на внешние сайты легко обходят антивирусную проверку и фильтры безопасности.
