Siber suçlular, yeni bir saldırı kampanyasında kullanıcılara karşı güvenilir bir dosya biçimini çeviriyor. MatrixPDF, tespitten kaçınmak için kötü niyetli faaliyetleri birden fazla platformda bölen sosyal mühendislik saldırılarında bir evrimi temsil eder.
PDF dosyaları siber suçlular için mükemmel Truva atı haline geldi. E -posta güvenlik filtreleri göz önünde bulundurulmamış, Gmail’in arayüzünde satır satırlar ve alıcılar güvenilir doğaları nedeniyle tereddüt etmeden onları açarlar.
Matrixpdf, meşru PDF belgelerini sofistike kimlik avı ve kötü amaçlı yazılım dağıtım mekanizmalarına dönüştürerek bu doğal güvenden yararlanmaktadır.
Siber suç ağlarında keşfedilen kötü amaçlı bir araç seti olan Matrixpdf, e -posta güvenlik filtrelerini atlamak ve şüpheli olmayan gmail kullanıcılarına kötü amaçlı yazılım yükleri sunmak için sıradan PDF dosyalarını silahlandırır.
Araç seti, saldırganların gerçek PDF dosyalarını yüklemesine ve bunları sahte güvenlik istemleri, gömülü JavaScript eylemleri, içerik bulanıklaştırma kaplamaları ve harici yönlendirmeler dahil olmak üzere kötü niyetli özelliklerle artırmasına olanak tanır.
Alıcılar için, bu dosyalar tamamen rutin görünür, ancak tek bir tıklama kimlik hırsızlığı veya kötü amaçlı yazılım kurulumuyla sonuçlanabilir.
Matrixpdf nasıl çalışır
Matrixpdf, saldırganların harici yönlendirmeler için yük yükü URL’lerini kötü amaçlı yazılım veya kimlik avı sitelerine belirtmelerini sağlayan kapsamlı bir oluşturucu olarak işlev görür.
Araç seti, siber suçluların gelişmiş sosyal mühendislik etkinliği için belge görünümünü değiştirmesine izin veren kapsamlı özelleştirme seçenekleri sunar.
Temel özellikler arasında “Güvenli Belge”, asma kilitlere veya kurumsal logolara benzeyen özel simgeler ve kullanıcılar “kilidini açana” kadar gerçek belge içeriğini gizleyen içerik bulanık kaplamaları gibi ikna edici başlıklar ekleme olanağı bulunur. Bu görsel modifikasyonlar, kurbanları kötü niyetli unsurlarla etkileşim kurmaya zorlayan bir meşruiyet ve aciliyet havası yaratır.
Araç setinin en tehlikeli yeteneği, JavaScript gömme işlevinde yatmaktadır. Saldırganlar, PDF’ler açıldığında veya tıklandığında kod yürütmek için belgelerdeki JavaScript eylemlerini değiştirebilir.
Bu, kurbanlar, yapılandırma ayarlarına bağlı olarak belge açılışında istemleri tıkladığında veya hatta anında yürütüldüklerinde otomatik web sitesi açılmasını sağlar.
İlk birincil saldırı vektörü, e -posta ağ geçidi filtrelerini atlamak için Gmail’in PDF önizleme işlevselliğini kullanır. Saldırganlar, MatrixPDF tarafından oluşturulan dosyaları ek olarak gönderir, bu da tipik olarak ilk taramaları geçirir, çünkü hiçbir ikili yük içermezler-sadece komut dosyaları ve harici bağlantılar.
Alıcılar bu PDF’leri Gmail’in web görüntüleyicisinde görüntülediklerinde, “güvenli belgeyi açmalarını” isteyen kaplamalarla bulanık içerikle karşılaşırlar. Bu kimlik avı cazibesi, dosyanın korunduğunu ima eder ve kullanıcıları kimlik bilgisi hırsızlığı veya yük sunumuna yol açan bağlantıları tıklamaya ikna eder.
Mağdurlar gömülü düğmeye tıkladığında kötü niyetli eylem tetiklenir. Matrixpdf, PDF’leri, Gmail’in güvenlik önlemlerini sınırlayan ince bir kaçış tekniği olan standart köprü nesneleri yerine doğrudan tıklanabilir bağlantılar veya komut dosyası güdümlü düğmeler aracılığıyla kullanıcıları doğrudan URL’lere yönlendirecek şekilde yapılandırır.
En önemlisi, Gmail’in PDF görüntüleyicisi JavaScript’i yürütmez, ancak tıklanabilir bağlantılara ve ek açıklamalara izin verir. Bu tasarım sınırlaması, saldırganların kullanıcıların tarayıcılarına harici siteleri açan düğmeleri yerleştirmelerini sağlar.
PDF’nin kendisinin herhangi bir kötü amaçlı yazılım taraması, gerçek kötü amaçlı içerik yalnızca kullanıcı etkileşiminden sonra getirilirken, yasal kullanıcı tarafından başlatılan web istekleri olarak Gmail’e görünür.
İkinci saldırı yöntemi, kötü amaçlı yazılım teslimi için PDF gömülü JavaScript’in daha doğrudan kullanımını içerir. Mağdurlar Adobe Acrobat gibi masaüstü okuyuculara veya komut dosyası yürütme özelliklerine sahip tarayıcılarda PDF’leri indirdiğinde veya açtığında, gömülü komut dosyaları otomatik olarak saldırgan kontrollü yük URL’lerine bağlanmaya çalışır.
Çoğu PDF okuyucu, belgeler harici kaynaklara erişmeye çalıştığında güvenlik uyarıları gösterir. Bununla birlikte, saldırganlar derhal alarmları yükseltmekten kaçınmak için zararsız görünümlü kısa alanlar kullanırlar. Birçok kullanıcı, özellikle belge bağlamı güvenli dosyaları görüntülemenin gerekli olduğunu öne sürdüğünde, istendiğinde “izin ver” i tıklamaya şartlandırılır.
PDF’nin gömülü bağlantısı, halka açık bir sitede barındırılan macun (meşru bir SSH istemcisi) için bir indirme noktasına işaret eder. Bu indirme, bir kötü amaçlı yazılım yükü için bir stand-in, gerçek bir saldırıda saldırganın kontrolü altında kötü amaçlı yazılım yüklü bir yürütülebilir.
İzin verildikten sonra, gömülü komut dosyaları Acrobat JavaScript API çağrılarını veya form gönderme işlemlerini kullanarak yükleri getirir. Saldırı daha sonra herhangi bir sürüşle indirme gibi ilerler ve güvenli belgelere erişme iddiası altında teslim edilen kötü amaçlı yazılım yürütülebilir ürünler.
PDF tabanlı saldırılara karşı savunma
Geleneksel e-posta güvenlik filtreleri, meşru görünümlü PDF’lerin arkasındaki amacı tanımlayamayan imza tabanlı tespitlere güveniyorlar çünkü MatrixPDF’ye karşı mücadele ediyor.
Kötü niyetli bileşenler – javascript eylemleri ve harici URL’ler – sadece kullanıcı etkileşimi yoluyla aktive ederek statik analizi yetersiz kılar.
Gelişmiş AI destekli e-posta güvenlik çözümleri, yalnızca imzalara güvenmek yerine, kötü niyetli niyet için ekleri analiz ederek daha etkili koruma sağlar.
Bu sistemler PDF yapısını, bulanık içerik, sahte güvenlik istemleri veya gizli bağlantılara bağlı düğmeler gibi anomalileri işaretlemek için denetler.
Oturum açma kimlik bilgileri, kredi kartları ve belgeler gibi çeşitli dijital hedefler aracılığıyla hassas verileri çalmak için kimlik avı taktiklerini kullanan bir hacker’ın gösterimi
Modern güvenlik platformları ayrıca saldırıları güvenli bir şekilde simüle etmek için bulut sanal alan kullanıyor. Her gömülü URL, tam komut dosyası yürütme ile sanal tarayıcılarda açılır ve tehditler kullanıcı gelen kutularına ulaşmadan önce sahte belge yönlendirmeleri ve JavaScript tarafından başlatılan kötü amaçlı yazılım getirme gibi taktikleri ortaya çıkarır.
Saldırganlar, teslimat için e -posta ve web tarayıcılarını kullanarak, her bir bileşeni tek başına inceleyen geleneksel güvenlik önlemlerini atlatır.
Araç setinin başarısı, bireysel bileşenlerden ziyade tüm saldırı zincirlerini analiz eden kapsamlı güvenlik stratejilerine yönelik kritik ihtiyacı vurgulamaktadır.
Siber suçlular sofistike kaçırma teknikleri geliştirmeye devam ettikçe, kuruluşlar kullanıcı sistemlerinden ödün vermeden önce çok aşamalı saldırıları tanımlayabilen ve engelleyebilen gelişmiş tehdit algılama yeteneklerini kullanmalıdır.
MatrixPDF’nin ortaya çıkışı, saldırganların kullanıcı güvenini ve teknolojik sınırlamaları kullanmaya yönelik metodolojilerini sürekli olarak nasıl uyarlamalarını vurgulamaktadır.
Kuruluşlar, meşru belgeler ve kötü niyetli saldırı vektörleri arasındaki çizgileri bulanıklaştıran bu gelişen PDF tabanlı tehditlere karşı korunmak için uyanık kalmalı ve çok katmanlı güvenlik yaklaşımları uygulamalıdır.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.