ชุดเครื่องมือสำหรับการโจมตีแบบฟิชชิง และมัลแวร์ตัวใหม่ที่ชื่อว่า MatrixPDF ช่วยให้ผู้โจมตีสามารถแปลงไฟล์ PDF ทั่วไปให้เป็นเหยื่อล่อแบบ interactive ได้ ซึ่งจะ bypass การรักษาความปลอดภัยของอีเมล และเปลี่ยนเส้นทางของเหยื่อเพื่อขโมยข้อมูล credential หรือการดาวน์โหลดมัลแวร์

เครื่องมือใหม่นี้ถูกพบโดย Daniel Kelley นักวิจัยของ Varonis ซึ่งให้ข้อมูลกับ BleepingComputer ว่า MatrixPDF โดยถูกพบครั้งแรกในฟอรัมของกลุ่มแฮ็กเกอร์ โดยผู้ขายใช้ Telegram เป็นช่องทางเพิ่มเติมในการติดต่อกับผู้ซื้อ โดยโฆษณาเครื่องมือนี้ว่าเป็นเครื่องมือจำลองการโจมตีแบบฟิชชิง และเครื่องมือสำหรับ blackteaming

ข้อความโฆษณาที่แชร์กับ BleepingComputer ระบุว่า MatrixPDF: Document Builder - Advanced PDF Phishing with JavaScript Actions เป็นเครื่องมือสำหรับการสร้างไฟล์ PDF สำหรับจำลองการโจมตีแบบฟิชชิงที่เสมือนจริง ซึ่งถูกปรับแต่งมาสำหรับ black team และการฝึกอบรมสร้างความตระหนักด้านความปลอดภัยไซเบอร์”

“ด้วยการนำเข้าไฟล์ PDF แบบ drag-and-drop การแสดงตัวอย่างแบบเรียลไทม์ และ Security overlays ที่ปรับแต่งได้ MatrixPDF จึงสามารถจำลองสถานการณ์การโจมตีแบบฟิชชิงได้อย่างมืออาชีพ”

“ระบบป้องกันในตัว เช่น การเบลอเนื้อหา, กลไกการเปลี่ยนเส้นทางที่ปลอดภัย, Metadata Encryption, และ Bypass Gmail ช่วยให้มั่นใจในความถูกต้อง และความน่าเชื่อถือในสภาพแวดล้อมการทดสอบ”

เครื่องมือนี้มีระดับราคาที่หลากหลาย ตั้งแต่ 400 ดอลลาร์ต่อเดือน ไปจนถึง 1,500 ดอลลาร์สำหรับทั้งปี

ชุดเครื่องมือฟิชชิง MatrixPDF

รายงานฉบับใหม่จาก Varonis อธิบายว่า เครื่องมือสร้าง MatrixPDF ช่วยให้ผู้โจมตีสามารถอัปโหลดไฟล์ PDF ที่ถูกต้องตามปกติเพื่อใช้เป็นเหยื่อล่อ จากนั้นเพิ่มคุณสมบัติที่เป็นอันตราย เช่น การเบลอเนื้อหา, การแสดงข้อความปลอม "Secure Document" และ Overlays ที่สามารถคลิกได้ ซึ่งจะนำไปสู่ URL payload ภายนอก

MatrixPDF ยังสามารถ embed JavaScript ซึ่งจะ triggered เมื่อผู้ใช้เปิดเอกสาร หรือเมื่อเหยื่อคลิกปุ่ม JavaScript นี้จะพยายามเปิดเว็บไซต์ หรือดำเนินการที่เป็นอันตรายอื่น ๆ

คุณสมบัติการเบลอเนื้อหาช่วยให้ผู้โจมตีสามารถสร้างไฟล์ PDF ที่ดูเหมือนจะมีเนื้อหาที่ได้รับการป้องกัน และถูกเบลอไว้ และมีปุ่ม "Open Secure Document" การคลิกที่เอกสารจะเปิดเว็บไซต์ที่สามารถใช้เพื่อโฮสต์หน้าฟิชชิง หรือเผยแพร่มัลแวร์ได้

การทดสอบโดย Varonis แสดงให้เห็นว่าไฟล์ PDF ที่เป็นอันตรายสามารถถูกส่งไปยังบัญชี Gmail ได้โดย bypass phishing filters ทั้งนี้เป็นเพราะไฟล์ PDF ที่สร้างขึ้นไม่มีไฟล์ไบนารีที่เป็นอันตราย และมีเพียงลิงก์ภายนอกเท่านั้น

นักวิจัยจาก Varonis อธิบายว่า “โปรแกรมตรวจสอบ PDF ของ Gmail ไม่ได้รัน PDF JavaScript แต่จะอนุญาตให้ลิงก์ หรือคำอธิบายประกอบที่สามารถคลิกทำงานได้”

“ดังนั้น PDF ของผู้โจมตีจึงถูกสร้างขึ้นเพื่อให้การกดปุ่มเพียงแค่เปิดเว็บไซต์ภายนอกในเบราว์เซอร์ของผู้ใช้ การออกแบบที่ค่อนข้างฉลาดนี้ สามารถหลีกเลี่ยงระบบความปลอดภัยของ Gmail ได้ การสแกนมัลแวร์ในไฟล์ PDF จะไม่พบสิ่งผิดปกติ และเนื้อหาที่เป็นอันตรายจะถูกดึงมาต่อเมื่อผู้ใช้คลิกเท่านั้น ซึ่งจะทำให้ Gmail เห็นเป็น web request ที่เริ่มต้นโดยผู้ใช้”

การสาธิตอีกอย่างแสดงให้เห็นว่าเพียงแค่เปิด PDF มันก็จะพยายามที่จะเปิดเว็บไซต์ภายนอกแล้ว คุณสมบัตินี้ค่อนข้างจำกัด เนื่องจากโปรแกรม PDF viewers สมัยใหม่จะแจ้งเตือนผู้ใช้ว่า PDF พยายามที่จะเชื่อมต่อกับเว็บไซต์ภายนอก

Varonis เตือนว่า PDF เป็นช่องทางยอดนิยมสำหรับการโจมตีแบบฟิชชิง เพราะเป็นไฟล์ที่ใช้กันทั่วไป และแพลตฟอร์มอีเมลสามารถแสดงผลได้โดยไม่มีการแจ้งเตือน

บริษัทระบุว่า ระบบรักษาความปลอดภัยอีเมลที่ใช้งาน AI ซึ่งสามารถวิเคราะห์โครงสร้าง PDF, ตรวจจับ Overlays ที่เบลอ และข้อความแจ้งเตือนปลอม และตรวจสอบ URL ที่ฝังไว้ใน sandbox สามารถช่วยป้องกันไม่ให้ไฟล์เหล่านี้ไปถึงกล่องจดหมายของเป้าหมายได้

ที่มา : bleepingcomputer