(https://i.postimg.cc/0yJGDKfv/Malware-spyware.png) (https://postimages.org/)
MatrixPDF, un nuevo kit de herramientas de phishing y distribución de malware, permite a los atacantes convertir archivos PDF comunes en señuelos interactivos que evaden la seguridad del correo electrónico y redirigen a las víctimas al robo de credenciales o a la descarga de malware.
La nueva herramienta fue descubierta por investigadores de Varonis, quienes informaron que MatrixPDF se detectó por primera vez en un foro de ciberdelincuencia. El vendedor también utiliza Telegram como medio adicional para interactuar con los compradores.
El desarrollador de MatrixPDF promociona la herramienta como una simulación de phishing y una herramienta de blackteaming. Sin embargo, Daniel Kelley, investigador de Varonis, declaró que, se vio por primera vez ofreciéndose en foros de ciberdelincuencia.
"MatrixPDF: Creador de Documentos - Phishing PDF Avanzado con Acciones JavaScript es una herramienta de élite para crear PDF de simulación de phishing realistas, diseñados para blackteams y formación en ciberseguridad", se lee en un anuncio compartido.
Con importación de PDF con solo arrastrar y soltar, vista previa en tiempo real y superposiciones de seguridad personalizables, MatrixPDF ofrece escenarios de phishing de nivel profesional.
Protecciones integradas, como el desenfoque de contenido, el mecanismo de redirección segura, el cifrado de metadatos y la omisión de Gmail, garantizan la autenticidad y una entrega fiable en entornos de prueba.
La herramienta se ofrece con varios planes de precios, desde $400 al mes hasta $1500 por un año completo.
Precios de MatrixPDF
(https://www.bleepstatic.com/images/news/security/m/matrixpdf/matrixpdf-pricing.jpg)
El kit de herramientas de phishing MatrixPDF
Un nuevo informe de Varonis explica que el generador MatrixPDF permite a los atacantes subir un PDF legítimo como señuelo y luego añadir funciones maliciosas, como contenido borroso, mensajes falsos de "Documento Seguro" y superposiciones clicables que dirigen a una URL de carga útil externa.
Pantalla de características de MatrixPDF
(https://www.bleepstatic.com/images/news/security/m/matrixpdf/matrixpdf.png)
MatrixPDF también puede incrustar acciones JavaScript que se activan cuando un usuario abre un documento o cuando las víctimas hacen clic en un botón. Este JavaScript intentará abrir un sitio web o realizar otras acciones maliciosas.
Las funciones de contenido difuminado permiten al atacante crear archivos PDF que parecen contener contenido protegido y difuminado, e incluyen un botón "Abrir documento seguro". Al hacer clic en el documento, se abre un sitio web que puede utilizarse para alojar páginas de phishing o distribuir malware.
Una prueba realizada por Varonis demuestra cómo los PDF maliciosos se enviaron a una cuenta de Gmail, eludiendo los filtros de phishing. Esto se debe a que los PDF generados no contienen binarios maliciosos, sino solo enlaces externos.
"El visor de PDF de Gmail no ejecuta JavaScript para PDF, pero permite enlaces y anotaciones en los que se puede hacer clic", explica Varonis.
Así, el PDF del atacante se crea de forma que, al pulsar un botón, simplemente se abre un sitio externo en el navegador del usuario. Este diseño, bastante ingenioso, evade la seguridad de Gmail: cualquier análisis de malware del PDF no encuentra nada incriminatorio, y el contenido malicioso solo se recupera cuando el usuario hace clic, apareciendo en Gmail como una solicitud web iniciada por el usuario.
Otra demostración muestra cómo, con solo abrir el PDF malicioso, se intenta abrir un sitio externo. Esta función es algo limitada, ya que los visores de PDF modernos alertan al usuario de que el PDF intenta conectarse a un sitio remoto.
Varonis advierte que los PDF son un vehículo popular para los ataques de phishing debido a su uso común y a que las plataformas de correo electrónico pueden mostrarlos sin previo aviso.
La empresa afirma que la seguridad del correo electrónico basada en IA, que analiza la estructura del PDF, detecta superposiciones borrosas y mensajes falsos, y detona URL incrustadas en un entorno aislado, puede ayudar a impedir que estos archivos lleguen a la bandeja de entrada del objetivo.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/new-matrixpdf-toolkit-turns-pdfs-into-phishing-and-malware-lures/