サイバーニュース.jp

世界のサイバーなニュースを配信

MatrixPDFキャンペーン:Gmailフィルターを回避し悪意のあるペイロードを配信

カテゴリ:

, , , , , , , , ,

はじめに

サイバー犯罪者たちは、信頼されているファイル形式を悪用し、巧妙な新しい攻撃キャンペーンを展開しています。この「MatrixPDF」は、悪意のある活動を複数のプラットフォームに分散させることで検出を回避する、ソーシャルエンジニアリング攻撃の懸念すべき進化を示しています。

PDFファイルは、サイバー犯罪者にとって完璧なトロイの木馬となっています。これらはメールセキュリティフィルターを検知されずにすり抜け、Gmailのインターフェース内でインライン表示され、その信頼性から受信者はためらうことなく開いてしまいます。MatrixPDFは、この固有の信頼性を悪用し、正規のPDFドキュメントを洗練されたフィッシングおよびマルウェア配信メカニズムに変貌させます。

サイバー犯罪ネットワークで発見された悪意のあるツールキットであるMatrixPDFは、通常のPDFファイルを武器化し、メールセキュリティフィルターを迂回して、疑うことを知らないGmailユーザーにマルウェアペイロードを配信します。このツールキットにより、攻撃者は正規のPDFファイルを読み込み、偽のセキュリティプロンプト、埋め込みJavaScriptアクション、コンテンツのぼかしオーバーレイ、外部リダイレクトなどの悪意のある機能を追加できます。受信者にはこれらのファイルは完全に通常に見えますが、たった一度のクリックで認証情報の窃取やマルウェアのインストールにつながる可能性があります。

MatrixPDFの仕組み

MatrixPDFは、マルウェアやフィッシングサイトへの外部リダイレクトのためのペイロードURLを指定できる包括的なビルダーとして機能します。このツールキットは、サイバー犯罪者がソーシャルエンジニアリングの効果を高めるためにドキュメントの外観を変更できる広範なカスタマイズオプションを提供します。

主な機能には、「Secure Document」のような説得力のあるタイトル、南京錠や企業のロゴに似たカスタムアイコン、そしてユーザーが「ロック解除」するまで実際のドキュメントコンテンツを隠すコンテンツのぼかしオーバーレイを追加する機能が含まれます。これらの視覚的な変更は、正当性と緊急性を醸し出し、被害者に悪意のある要素とのやり取りを促します。

このツールキットの最も危険な機能は、JavaScriptの埋め込み機能にあります。攻撃者は、PDFが開かれたりクリックされたりしたときにコードを実行するために、ドキュメント内のJavaScriptアクションを切り替えることができます。これにより、被害者がプロンプトをクリックしたときに自動的にウェブサイトが開かれたり、設定によってはドキュメントを開いた直後に即座に実行されたりすることが可能になります。

攻撃手法1:Gmailプレビューの悪用

最初の主要な攻撃ベクトルは、GmailのPDFプレビュー機能を悪用してメールゲートウェイフィルターを迂回することです。攻撃者はMatrixPDFで生成されたファイルを添付ファイルとして送信しますが、これらは通常、バイナリペイロードを含まず、スクリプトと外部リンクのみであるため、初期スキャンを通過します。

受信者がGmailのウェブビューアでこれらのPDFを表示すると、ぼかされたコンテンツと「Open Secure Document」というオーバーレイが表示されます。このフィッシングの誘い文句は、ファイルが保護されていることを示唆し、ユーザーに認証情報の窃取やペイロード配信につながるリンクをクリックするよう説得します。被害者が埋め込まれたボタンをクリックすると、悪意のあるアクションがトリガーされます。

MatrixPDFは、標準のハイパーリンクオブジェクトではなく、クリック可能なリンクやスクリプト駆動のボタンを介してユーザーを外部URLに直接リダイレクトするようにPDFを設定します。これは、Gmailのセキュリティ対策を回避する巧妙な回避技術です。重要なことに、GmailのPDFビューアはJavaScriptを実行しませんが、クリック可能なリンクと注釈は許可します。この設計上の制限により、攻撃者はユーザーのブラウザで外部サイトを開くボタンを埋め込むことができます。PDF自体のマルウェアスキャンでは何も悪意のあるものは見つからず、実際の悪意のあるコンテンツはユーザーの操作後にのみフェッチされ、Gmailには正規のユーザーが開始したウェブリクエストとして表示されます。

攻撃手法2:デスクトップリーダーの悪用

2番目の攻撃方法は、マルウェア配信のためにPDFに埋め込まれたJavaScriptをより直接的に使用するものです。被害者がPDFをダウンロードしたり、Adobe Acrobatのようなデスクトップリーダーやスクリプト実行機能を持つブラウザで開いたりすると、埋め込まれたスクリプトが自動的に攻撃者が制御するペイロードURLへの接続を試みます。

ほとんどのPDFリーダーは、ドキュメントが外部リソースにアクセスしようとするとセキュリティ警告を表示します。しかし、攻撃者は無害に見える短いドメインを使用して、即座に警告を発しないようにします。多くのユーザーは、特にドキュメントのコンテキストが安全なファイルを表示するために必要であることを示唆している場合、プロンプトが表示されたときに「許可」をクリックするように条件付けられています。

PDFに埋め込まれたリンクは、公開サイトでホストされているPuTTY(正規のSSHクライアント)のダウンロードを指しています。このダウンロードは、実際の攻撃における攻撃者の制御下にあるマルウェアが仕込まれた実行可能ファイル、つまりマルウェアペイロードの代わりです。許可が与えられると、埋め込まれたスクリプトはAcrobat JavaScript API呼び出しまたはフォーム送信アクションを使用してペイロードをフェッチします。その後、攻撃はドライブバイダウンロードと同様に進み、安全なドキュメントにアクセスするという名目でマルウェアの実行可能ファイルが配信されます。

PDFベースの攻撃に対する防御策

従来のメールセキュリティフィルターは、正規に見えるPDFの背後にある意図を特定できないシグネチャベースの検出に依存しているため、MatrixPDFに対しては苦戦します。悪意のあるコンポーネント(JavaScriptアクションと外部URL)は、ユーザーの操作によってのみアクティブになるため、静的分析では不十分です。

高度なAI駆動型メールセキュリティソリューションは、シグネチャのみに依存するのではなく、添付ファイルの悪意のある意図を分析することで、より効果的な保護を提供します。これらのシステムは、PDF構造を検査し、ぼかされたコンテンツ、偽のセキュリティプロンプト、隠されたリンクに結びついたボタンなどの異常を検出します。

最新のセキュリティプラットフォームは、クラウドサンドボックスも利用して攻撃を安全にシミュレートします。すべての埋め込みURLは、完全なスクリプト実行機能を備えた仮想ブラウザで開かれ、脅威がユーザーの受信トレイに到達する前に、偽のドキュメントリダイレクトやJavaScriptによって開始されるマルウェアのフェッチなどの戦術を明らかにします。

メールを配信に、ウェブブラウザをペイロード取得に使用することで、攻撃者は各コンポーネントを個別に検査する従来のセキュリティ対策を回避します。このツールキットの成功は、個々のコンポーネントではなく、攻撃チェーン全体を分析する包括的なセキュリティ戦略の重要性を浮き彫りにしています。サイバー犯罪者が洗練された回避技術を開発し続ける中、組織はユーザーシステムを侵害する前に多段階攻撃を特定しブロックできる高度な脅威検出機能を導入する必要があります。

MatrixPDFの出現は、攻撃者がユーザーの信頼と技術的限界を悪用するために、その手法を継続的に適応させていることを強調しています。組織は警戒を怠らず、正規のドキュメントと悪意のある攻撃ベクトルの境界線を曖昧にする、これらの進化するPDFベースの脅威から保護するために多層的なセキュリティアプローチを実装する必要があります。

元記事: https://gbhackers.com/matrixpdf-campaign-evades-gmail-filters-to-deliver-malicious-payloads/

投稿をさらに読み込む