Хакеры используют легальные PDF для атак: MatrixPDF и SpamGPT

Исследователи кибербезопасности предупредили о новом наборе инструментов MatrixPDF, который способен превращать совершенно безобидные на первый взгляд PDF-файлы в средства доставки вредоносных программ и фишинга. Специалисты компании Varonis обнаружили, что MatrixPDF встраивает в уже существующие PDF обманные всплывающие окна, наложения и скрипты, поэтому документ выглядит обычным, но при этом скрывает потенциальную угрозу.

Эксперты подчёркивают: если этот инструмент совместить с так называемым SpamGPT — системой автоматической массовой отправки фишинговых сообщений на базе искусственного интеллекта, — масштабы и эффективность атак могут значительно возрасти. MatrixPDF действует за счёт того, что к формату PDF у людей высокий уровень доверия; такие файлы часто проходят через почтовые фильтры и открываются прямо в сервисах вроде Gmail без малейших подозрений.

Работа злоумышленника по схеме проста: в загрузчик MatrixPDF помещается легитимный документ, и в него добавляются вредоносные элементы — например, поддельные сообщения о "Безопасном документе" или размытый слой, который заставляет пользователя кликнуть по области документа. Как только пользователь взаимодействует с этим элементом, открывается внешняя ссылка или автоматически загружается файл, способный заразить систему.

Один из методов — это перенаправление через фишинговую ссылку. Файл выглядит полностью настоящим, а вредоносная нагрузка отсутствует до тех пор, пока человек не нажмёт на кнопку или новую ссылку, ведущую на вредоносный сайт. Так как это действие совершается только после пользовательского клика, автоматические сканеры не определяют угрозу заранее.

Второй подход использует JavaScript, встроенный прямо в PDF. Скрипт может запуститься сразу при открытии документа или при каком-то взаимодействии пользователя: подключение к серверу злоумышленника по короткой ссылке выглядит как обращение к обычному ресурсу. Типовое диалоговое окно безопасности легко обманет рядового пользователя: кликнув "Разрешить", он неосознанно отдаёт управление машине злоумышленника.

Таким образом, вредоносный контент может скачиваться автоматически, причём всё скрывается под видом "необходимого процесса" для доступа к информации. Вся эта схема строится на доверии к формату PDF, подыгрывая человеческой привычке подтверждать рутинные уведомления. Особых уязвимостей тут не нужно — достаточно обычного социального воздействия: доверие к привычной форме документа работает на злоумышленника.

Исследователь Дэниэл Келли, беседуя с изданием TechRadar Pro, отмечает: "MatrixPDF и SpamGPT прекрасно дополняют друг друга — один генерирует заражённые PDF, другой рассылает их сотням и тысячам людей". Такой тандем позволяет масштабировать атаки и при этом сохранять индивидуальную настройку и сложность каждой кампании.

Главная проблема — не в отдельной уязвимости, а в том, что давно проверенные форматы документов теперь массово используются для рассылки мошеннических и вредоносных файлов. Защитой может выступать искусственный интеллект для анализа почты, который способен выявлять подозрительные структуры и скрытые ссылки там, где классические фильтры бессильны. За счёт имитации реальных действий пользователя в "песочнице" AI-алгоритмы вскрывают скрытые редиректы и вредоносные скрипты до их поступления во входящие.

Тем не менее, киберпреступники продолжают искать новые лазейки: несмотря на совершенствование методов обнаружения, сами атаки становятся всё изощрённее.