MatrixPDFと呼ばれる新しいフィッシングおよびマルウェア配布ツールキットにより、攻撃者は通常のPDFファイルを、メールセキュリティを回避し、被害者を認証情報の窃取やマルウェアのダウンロードにリダイレクトするインタラクティブな誘導ファイルに変換できるようになりました。
この新しいツールはVaronisの研究者によって発見され、MatrixPDFは最初にサイバー犯罪フォーラムで確認されたとBleepingComputerに伝えられました。販売者は購入者との追加の連絡手段としてTelegramも利用しています。
MatrixPDFの開発者はこのツールをフィッシングシミュレーションおよびブラックチーム向けツールとして宣伝しています。しかし、Varonisの研究者Daniel Kelley氏は、最初にサイバー犯罪フォーラムで提供されているのが確認されたとBleepingComputerに語りました。
「MatrixPDF: Document Builder – Advanced PDF Phishing with JavaScript Actionsは、ブラックチームやサイバーセキュリティ意識向上トレーニングのためにリアルなフィッシングシミュレーションPDFを作成するためのエリートツールです」と、BleepingComputerと共有された広告には記載されています。
「ドラッグ&ドロップによるPDFインポート、リアルタイムプレビュー、カスタマイズ可能なセキュリティオーバーレイにより、MatrixPDFはプロフェッショナルレベルのフィッシングシナリオを提供します。」
「コンテンツのぼかし、セキュアリダイレクト機構、メタデータ暗号化、Gmailバイパスなどの内蔵保護機能により、テスト環境での信頼性の高い配信と本物らしさを確保します。」
このツールはさまざまな料金プランで提供されており、月額400ドルから年間1,500ドルまでとなっています。
出典: Varonis
MatrixPDFフィッシングツールキット
Varonisによる新しいレポートによると、MatrixPDFビルダーは攻撃者が正規のPDFを誘導ファイルとしてアップロードし、コンテンツのぼかし、偽の「セキュアドキュメント」プロンプト、外部ペイロードURLに誘導するクリック可能なオーバーレイなどの悪意ある機能を追加できると説明しています。
出典: Varonis
MatrixPDFはまた、ユーザーがドキュメントを開いたときや被害者がボタンをクリックしたときにトリガーされるJavaScriptアクションを埋め込むことができます。このJavaScriptはウェブサイトを開いたり、他の悪意ある動作を実行しようとします。
コンテンツのぼかし機能により、脅威アクターは保護されたぼかしコンテンツが含まれているように見せかけ、「セキュアドキュメントを開く」ボタンを含むPDFを作成できます。ドキュメントをクリックすると、フィッシングページのホスティングやマルウェア配布に利用できるウェブサイトが開かれます。
Varonisによるテストでは、悪意あるPDFがGmailアカウントに送信され、フィッシングフィルターを回避できることが示されました。これは、生成されたPDFに悪意あるバイナリが含まれておらず、外部リンクのみが含まれているためです。
「GmailのPDFビューアはPDFのJavaScriptを実行しませんが、クリック可能なリンクや注釈は許可します」とVaronisは説明しています。
「そのため、攻撃者のPDFはボタンを押すと単にユーザーのブラウザで外部サイトを開くように作成されています。このやや巧妙な設計によりGmailのセキュリティを回避します。PDF自体をマルウェアスキャンしても有罪となるものは見つからず、実際の悪意あるコンテンツはユーザーが積極的にクリックしたときにのみ取得され、Gmailにはユーザーが自発的にウェブリクエストを送ったように見えます。」
別のデモンストレーションでは、悪意あるPDFを開くだけで外部サイトを開こうとする様子が示されています。この機能にはやや制限があり、現代のPDFビューアはPDFがリモートサイトに接続しようとしていることをユーザーに警告します。
Varonisは、PDFが一般的に使用されており、メールプラットフォームが警告なしに表示できるため、フィッシング攻撃の手段として人気があると警告しています。
同社は、PDFの構造を分析し、ぼかしオーバーレイや偽のプロンプトを検出し、埋め込まれたURLをサンドボックスで実行するAI駆動のメールセキュリティが、これらのファイルがターゲットの受信箱に届くのを防ぐのに役立つと述べています。
