MatrixPDFとは:新たな脅威の登場
MatrixPDFは、通常のPDFファイルをフィッシングやマルウェアの誘い水に変えることができる、新しいフィッシングおよびマルウェア配布ツールキットです。このツールは、メールセキュリティを回避し、被害者を認証情報の窃取やマルウェアのダウンロードに誘導します。
Varonisの研究者によって発見されたMatrixPDFは、サイバー犯罪フォーラムで初めて確認され、販売者はTelegramも利用して購入者とやり取りしています。開発者はフィッシングシミュレーションやブラックチームツールとして宣伝していますが、Varonisの研究者Daniel Kelley氏は、サイバー犯罪フォーラムで提供されているのを目撃したとBleepingComputerに語っています。
MatrixPDFの高度な機能
MatrixPDFの広告には、「MatrixPDF: ドキュメントビルダー – JavaScriptアクションによる高度なPDFフィッシングは、ブラックチームやサイバーセキュリティ意識向上トレーニング向けに、現実的なフィッシングシミュレーションPDFを作成するためのエリートツールです」と記載されています。「ドラッグ&ドロップによるPDFインポート、リアルタイムプレビュー、カスタマイズ可能なセキュリティオーバーレイにより、MatrixPDFはプロフェッショナルグレードのフィッシングシナリオを提供します。」
また、「コンテンツのぼかし、安全なリダイレクトメカニズム、メタデータ暗号化、Gmailバイパスなどの組み込み保護機能は、テスト環境での信頼性の高い配信を保証します。」とも述べられています。
Varonisの新しいレポートによると、MatrixPDFビルダーは、攻撃者が正規のPDFを誘い水としてアップロードし、ぼかしコンテンツ、偽の「安全なドキュメント」プロンプト、外部ペイロードURLに誘導するクリック可能なオーバーレイなどの悪意のある機能を追加することを可能にします。
さらに、MatrixPDFは、ユーザーがドキュメントを開いたときやボタンをクリックしたときにトリガーされるJavaScriptアクションを埋め込むこともできます。このJavaScriptは、ウェブサイトを開いたり、その他の悪意のあるアクションを実行しようとします。ぼかしコンテンツ機能により、攻撃者は保護されたぼかしコンテンツが含まれているように見せかけ、「安全なドキュメントを開く」ボタンを含むPDFを作成できます。このボタンをクリックすると、フィッシングページをホストしたり、マルウェアを配布したりするために使用できるウェブサイトが開きます。
MatrixPDFの価格体系
このツールは、月額400ドルから年間1,500ドルまでの様々な価格プランで提供されています。
セキュリティ対策の回避方法
Varonisによるテストでは、悪意のあるPDFがGmailアカウントに送信され、フィッシングフィルターを回避できることが実証されました。これは、生成されたPDFが悪意のあるバイナリを含まず、外部リンクのみを含んでいるためです。
Varonisは、「GmailのPDFビューアはPDFのJavaScriptを実行しませんが、クリック可能なリンク/注釈は許可します」と説明しています。「したがって、攻撃者のPDFは、ボタンを押すとユーザーのブラウザで外部サイトが開くように作成されています。この巧妙な設計はGmailのセキュリティを回避します。PDF自体のマルウェアスキャンでは何も悪質なものは見つからず、実際の悪意のあるコンテンツはユーザーが積極的にクリックした後にのみ取得され、Gmailにはユーザーが開始したウェブリクエストとして認識されます。」
別のデモンストレーションでは、悪意のあるPDFを開くだけで外部サイトを開こうとすることが示されています。ただし、この機能は、最新のPDFビューアがPDFがリモートサイトに接続しようとしていることをユーザーに警告するため、ある程度制限されます。
Varonisからの警告と推奨される対策
Varonisは、PDFが一般的に使用され、メールプラットフォームが警告なしに表示できるため、フィッシング攻撃の一般的な手段であると警告しています。
同社は、PDFの構造を分析し、ぼかしオーバーレイや偽のプロンプトを検出し、サンドボックスで埋め込まれたURLをデトネーションするAI駆動型メールセキュリティが、これらのファイルがターゲットの受信トレイに到達するのを防ぐのに役立つと述べています。