MatrixPDF adlı yeni bir kimlik avı ve kötü amaçlı yazılım dağıtım araç seti, saldırganların sıradan PDF dosyalarını e -posta güvenliğini atlayan ve kurbanları kimlik hırsızlığı veya kötü amaçlı yazılım indirmelerine yönlendiren etkileşimli lures’a dönüştürmesine olanak tanır.
Yeni araç, BleepingComputer’a MatrixPDF’nin ilk olarak bir siber suç forumunda tespit edildiğini söyleyen Varonis araştırmacıları tarafından tespit edildi. Satıcı ayrıca Telegram’ı alıcılarla etkileşim kurmak için ek bir aracı olarak kullanır.
MatrixPDF geliştiricisi, aracı kimlik avı simülasyonu ve karartma aracı olarak teşvik eder. Ancak Varonis araştırmacısı Daniel Kelley, BleepingComputer’a ilk olarak siber suç forumlarında teklif edildiğini söyledi.
“Matrixpdf: Belge Oluşturucu – JavaScript Eylemleri ile Gelişmiş PDF Kimlik Yardımı, Siyah ekipler ve siber güvenlik farkındalık eğitimi için tasarlanmış gerçekçi kimlik avı simülasyonu PDF’leri hazırlamak için seçkin bir araçtır.”
“Sürükle ve bırak PDF içe aktarma, gerçek zamanlı önizleme ve özelleştirilebilir güvenlik kaplamaları ile MatrixPDF, profesyonel sınıf kimlik avı senaryoları sunar.”
“İçerik bulanıklığı, güvenli yönlendirme mekanizması, meta veri şifrelemesi ve Gmail baypas-kalıcı özgünlüğü ve test ortamlarında güvenilir teslimat gibi biriktirme korumaları.”
Araç, bir yıl boyunca ayda 400 $ ‘dan 1.500 $’ a kadar çeşitli fiyatlandırma planları altında sunulmaktadır.
Kaynak: Bir Kahraman
Matrixpdf kimlik avı araç seti
Varonis’in yeni bir raporu, MatrixPDF Builder’ın saldırganların meşru bir PDF’yi bir cazibe olarak yüklemelerini ve daha sonra bulanık içerik, sahte “güvenli belge” istemleri ve harici bir yük URL’sine yol açan tıklanabilir kaplamalar gibi kötü niyetli özellikler eklemesini sağladığını açıklıyor.
Kaynak: Bir Kahraman
Matrixpdf, bir kullanıcı bir belge açtığında veya kurbanlar bir düğmeye tıkladığında tetiklenen JavaScript eylemlerini de yerleştirebilir. Bu JavaScript bir web sitesi açmaya veya başka kötü amaçlı işlemleri gerçekleştirmeye çalışacaktır.
Bulanık içerik özellikleri, tehdit aktörünün korunan, bulanık içerik içerdiği ve “açık güvenli belge” düğmesi içerdiği görülen PDF’ler oluşturmasını sağlar. Belgeyi tıklamak, kimlik avı sayfalarını barındırmak veya kötü amaçlı yazılım dağıtmak için kullanılabilecek bir web sitesi açar.
Varonis’in bir testi, kötü niyetli PDF’lerin kimlik avı filtrelerini atlayarak bir Gmail hesabına nasıl gönderilebildiğini gösterir. Bunun nedeni, oluşturulan PDF’lerin kötü niyetli ikili dosyalar ve sadece harici bağlantılar içermemesidir.
Varonis, “Gmail’in PDF izleyicisi PDF JavaScript’i yürütmez, ancak tıklanabilir bağlantılar/ek açıklamalara izin verir.”
“Böylece, saldırganın PDF’si oluşturulur, böylece düğme baskısı kullanıcının tarayıcısında harici bir site açar. Bu biraz akıllı tasarım Gmail’in güvenliği etrafında çalışır: PDF’nin kendisinin herhangi bir kötü amaçlı taraması hiçbir şey bulamaz ve gerçek kötü niyetli içerik, yalnızca kullanıcı tarafından engellenen bir web isteği olarak gmail’e görünen, kullanıcı aktif olarak tıkladıktan sonra getirilir.”
Başka bir gösteri, kötü niyetli PDF’nin nasıl açılmasının harici bir site açmaya çalıştığını gösteriyor. Modern PDF görüntüleyenler kullanıcıyı PDF’nin uzak bir siteye bağlanmaya çalıştığı konusunda uyaracağından, bu özellik biraz sınırlıdır.
Varonis, PDF’lerin yaygın olarak kullanıldığı için kimlik avı saldırıları için popüler bir araç olduğu konusunda uyarıyor ve e -posta platformları onları uyarı yapmadan gösterebilir.
Şirket, PDF yapısını analiz eden, bulanık kaplamaları ve sahte istemleri tespit eden ve gömülü URL’leri bir kum havuzunda patlatan AI güdümlü e-posta güvenliğinin, bu dosyaların Target’un gelen kutusuna ulaşmasını engellemeye yardımcı olabileceğini söylüyor.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.