- MatrixPDFは通常のファイルを、無防備な被害者を狙う隠密な誘導ツールに変貌させる
- SpamGPTキャンペーンにより、隠されたペイロードの拡散規模が大幅に拡大する可能性
- 無害な文書が、静かに悪意あるコードを仕込んだ巧妙な罠へと変化
研究者たちは、MatrixPDFと呼ばれる新たなツールキットに注目を集めており、これが通常の文書をマルウェアやフィッシングキャンペーンの配布手段へと変えてしまうと警告しています。
Varonisの調査によると、このツールキットは既存のPDFファイルを改変し、偽のプロンプトやオーバーレイ、スクリプトを組み込むことで、通常の文書に見せかけつつ、脅威を隠すことができるといいます。
専門家は、これを大規模なフィッシングエンジンであるSpamGPTと組み合わせることで、こうした攻撃キャンペーンの規模や効果が飛躍的に拡大する可能性があると警告しています。
偽の「セキュアドキュメント」プロンプト
MatrixPDFは、PDFファイルが広く信頼されているという事実に依存しており、しばしばメールフィルターをすり抜け、Gmailのようなサービスでも疑われることなく直接開かれてしまいます。
攻撃者は正規の文書をビルダーに読み込ませ、偽の「セキュアドキュメント」プロンプトや、クリックを促すぼかしオーバーレイなど、悪意あるアクションを挿入することができます。
これらの操作によって、外部サイトへのリダイレクトや、システムを危険にさらすファイルの自動取得が引き起こされる可能性があります。
このツールキットで推奨されている攻撃手法のひとつが、フィッシングリンクへのリダイレクトです。
本物のように見えるPDFは、セキュアメールを通過することができ、ランサムウェアが埋め込まれていなくても、ユーザーをペイロードサイトへ誘導するリンクやボタンが含まれている場合があります。
悪意あるアクションはユーザーがクリックしたときにのみ発生するため、PDF自体は自動スキャン時には安全に見えます。
リダイレクトされた被害者は、安全な手続きの一部だと信じ込まされ、知らずに危険な実行ファイルをダウンロードしてしまう可能性があります。
もうひとつの手法は、PDFに埋め込まれたJavaScriptを利用するものです。この場合、文書を開いた瞬間やユーザーが操作した際にスクリプトが実行されます。
このスクリプトは、短縮ドメインを通じて攻撃者のサーバーに接続を試み、正規のリソースであるかのような印象を与えます。
セキュリティダイアログが表示された際、多くのユーザーは「許可」をクリックしてしまい、マルウェアのダウンロードを許してしまうことに気づきません。
その時点で攻撃はドライブバイダウンロードとなり、安全なファイルへのアクセスを装って有害なペイロードがインストールされます。
この攻撃は、「ドキュメントが接続しようとしています…」といった日常的なフレーズを使い、ユーザーの信頼を悪用します。こうしたフレーズは通常、情報にアクセスするための単なる手順だと思われがちです。
このようなソーシャルエンジニアリングへの依存により、攻撃者は新たな脆弱性を必要とせず、PDFフォーマット自体の信頼性を武器化できるのです。
TechRadar Proとの独占インタビューで、主任研究員のDaniel Kelley氏は「MatrixPDFとSpamGPTは攻撃シナリオにおいて互いに補完し合う可能性がある。1つは悪意あるPDFを生成し、もう1つはそれを大規模に配布する」と述べました。
「このようなツールを組み合わせることで、攻撃者はカスタマイズ性や高度さを維持しつつ、作戦の規模を拡大できるのです。」
懸念されるのは単一の脆弱性ではなく、信頼されたファイル形式が詐欺やマルウェアの広範な配布手段へと体系的に変貌する点です。
AIベースのメールセキュリティは有効な対抗策となり得ます。なぜなら、署名だけでなく添付ファイルの異常な構造や隠れたリンク、ぼかしコンテンツなども分析できるからです。
ユーザー操作を仮想環境でシミュレーションすることで、ファイルが受信箱に届く前に隠れたリダイレクトやスクリプトを暴くことが可能です。
このような防御策によって検出率は向上しますが、こうした手口が根強く残ることは、サイバー犯罪者のツールが常に進化し続けていることを示しています。
