Các tác nhân độc hại đang lợi dụng định dạng tệp tin đáng tin cậy để thực hiện các chiến dịch tấn công PDF tinh vi. MatrixPDF đánh dấu một bước phát triển đáng lo ngại trong các cuộc tấn công kỹ thuật xã hội, phân tán hoạt động độc hại trên nhiều nền tảng nhằm né tránh hệ thống phát hiện.

Tệp tin PDF trở thành “ngựa thành Troy” lý tưởng, vượt qua các bộ lọc bảo mật email và được người nhận mở mà không chút nghi ngờ do tính chất đáng tin cậy của chúng.

MatrixPDF khai thác lòng tin cố hữu này bằng cách biến các tài liệu PDF hợp pháp thành các cơ chế lừa đảo (phishing) và phân phối mã độc tinh vi.

Tổng quan về MatrixPDF: Công cụ Tấn công PDF

Khái niệm và Chức năng

MatrixPDF là một bộ công cụ độc hại được phát hiện trên các mạng tội phạm mạng [nguồn Varonis](https://www.varonis.com/blog/matrixpdf). Nó được thiết kế để thực hiện các tấn công PDF, biến các tệp PDF thông thường thành vũ khí, vượt qua các bộ lọc bảo mật email và phân phối payload mã độc tới người dùng Gmail không nghi ngờ.

Bộ công cụ này cho phép tin tặc tải các tệp PDF gốc và bổ sung các tính năng độc hại. Các tính năng này bao gồm các lời nhắc bảo mật giả mạo, các hành động JavaScript nhúng, lớp phủ làm mờ nội dung và các liên kết chuyển hướng bên ngoài.

Đối với người nhận, những tệp này trông hoàn toàn bình thường, nhưng chỉ một cú nhấp chuột có thể dẫn đến đánh cắp thông tin đăng nhập hoặc cài đặt mã độc.

Các Tính năng Chính của MatrixPDF

MatrixPDF hoạt động như một công cụ xây dựng toàn diện. Nó cho phép tin tặc chỉ định các URL payload để chuyển hướng bên ngoài đến các trang web chứa mã độc hoặc lừa đảo (phishing).

Bộ công cụ này cung cấp các tùy chọn tùy chỉnh rộng rãi để sửa đổi giao diện tài liệu, nâng cao hiệu quả kỹ thuật xã hội.

Các tính năng chính bao gồm khả năng thêm các tiêu đề thuyết phục như “Secure Document”, các biểu tượng tùy chỉnh giống ổ khóa hoặc logo công ty, và các lớp phủ làm mờ nội dung. Những lớp phủ này che giấu nội dung tài liệu thực tế cho đến khi người dùng “mở khóa”.

Các sửa đổi trực quan này tạo ra cảm giác hợp pháp và khẩn cấp, thúc đẩy nạn nhân tương tác với các yếu tố độc hại.

Khả năng nguy hiểm nhất của bộ công cụ này nằm ở chức năng nhúng JavaScript. Tin tặc có thể bật/tắt các hành động JavaScript trong tài liệu để thực thi mã khi tệp PDF được mở hoặc nhấp vào.

Điều này cho phép tự động mở trang web khi nạn nhân nhấp vào lời nhắc, hoặc thậm chí thực thi ngay lập tức khi tài liệu được mở, tùy thuộc vào cài đặt cấu hình.

Các Phương thức Tấn công PDF chính

Phương thức 1: Khai thác Chức năng xem trước PDF của Gmail

Phương thức tấn công PDF chính đầu tiên tận dụng chức năng xem trước PDF của Gmail để vượt qua các bộ lọc cổng email.

Tin tặc gửi các tệp do MatrixPDF tạo ra dưới dạng tệp đính kèm. Những tệp này thường vượt qua các lần quét ban đầu vì chúng không chứa payload nhị phân mà chỉ chứa các script và liên kết bên ngoài.

Khi người nhận xem các tệp PDF này trong trình xem web của Gmail, họ sẽ thấy nội dung bị làm mờ với các lớp phủ nhắc nhở họ “Open Secure Document”. Lời lừa đảo này ngụ ý tệp được bảo vệ và thuyết phục người dùng nhấp vào các liên kết dẫn đến đánh cắp thông tin đăng nhập hoặc phân phối payload.

Hành động độc hại được kích hoạt khi nạn nhân nhấp vào nút nhúng. MatrixPDF cấu hình PDF để chuyển hướng người dùng đến các URL bên ngoài trực tiếp thông qua các liên kết có thể nhấp hoặc các nút do script điều khiển, thay vì các đối tượng siêu liên kết tiêu chuẩn. Đây là một kỹ thuật lẩn tránh tinh vi nhằm vượt qua các biện pháp bảo mật của Gmail.

Điều quan trọng là trình xem PDF của Gmail không thực thi JavaScript nhưng cho phép các liên kết có thể nhấp và chú thích. Hạn chế thiết kế này cho phép tin tặc nhúng các nút mở các trang web bên ngoài trong trình duyệt của người dùng.

Bất kỳ quá trình quét mã độc nào trên chính tệp PDF đều không tìm thấy gì đáng ngờ, trong khi nội dung độc hại thực tế chỉ được lấy sau khi người dùng tương tác. Điều này khiến Gmail coi đó là các yêu cầu web hợp pháp do người dùng khởi tạo.

Phương thức 2: Thực thi JavaScript trực tiếp qua Trình đọc PDF

Phương thức tấn công PDF thứ hai liên quan đến việc sử dụng JavaScript nhúng trong PDF trực tiếp hơn để phân phối mã độc.

Khi nạn nhân tải xuống hoặc mở các tệp PDF trong các trình đọc trên máy tính như Adobe Acrobat hoặc các trình duyệt có khả năng thực thi script, các script nhúng sẽ tự động cố gắng kết nối với các URL payload do kẻ tấn công kiểm soát.

Hầu hết các trình đọc PDF hiển thị cảnh báo bảo mật khi tài liệu cố gắng truy cập tài nguyên bên ngoài. Tuy nhiên, tin tặc sử dụng các tên miền ngắn, trông vô hại để tránh gây báo động ngay lập tức.

Nhiều người dùng có thói quen nhấp vào “Allow” khi được nhắc, đặc biệt khi ngữ cảnh tài liệu cho thấy điều đó là cần thiết để xem các tệp bảo mật.

Liên kết nhúng của PDF trỏ đến một bản tải xuống cho PuTTY (một máy khách SSH hợp pháp) được lưu trữ trên một trang công khai. Bản tải xuống này là một ví dụ minh họa cho một payload mã độc, một tệp thực thi chứa mã độc do kẻ tấn công kiểm soát trong một cuộc tấn công thực tế.

Sau khi được cấp quyền, các script nhúng sẽ tìm nạp payload bằng các lệnh gọi API JavaScript của Acrobat hoặc các hành động gửi biểu mẫu. Cuộc tấn công sau đó diễn ra như bất kỳ cuộc tải xuống tự động (drive-by download) nào, với các tệp thực thi mã độc được phân phối dưới vỏ bọc truy cập các tài liệu bảo mật.

Thách thức trong Phát hiện và Giải pháp Nâng cao cho Mối Đe Dọa Mạng

Hạn chế của Phát hiện Dựa trên Chữ ký

Các bộ lọc bảo mật email truyền thống gặp khó khăn trong việc chống lại MatrixPDF vì chúng dựa vào phát hiện dựa trên chữ ký. Phương pháp này không thể xác định ý đồ độc hại đằng sau các tệp PDF trông hợp pháp.

Các thành phần độc hại – các hành động JavaScript và URL bên ngoài – chỉ kích hoạt thông qua tương tác của người dùng, làm cho phân tích tĩnh không đủ hiệu quả.

Các giải pháp bảo mật email tiên tiến được hỗ trợ bởi AI cung cấp khả năng bảo vệ hiệu quả hơn bằng cách phân tích các tệp đính kèm để tìm ý đồ độc hại, thay vì chỉ dựa vào chữ ký. Giải pháp này giúp ngăn chặn các tấn công PDF tinh vi.

Các hệ thống này kiểm tra cấu trúc PDF để gắn cờ các bất thường như nội dung bị làm mờ, lời nhắc bảo mật giả mạo hoặc các nút được liên kết với các liên kết ẩn.

Phát hiện Tấn công Nâng cao và Chiến lược Phòng thủ

Các nền tảng bảo mật hiện đại cũng sử dụng cloud sandboxing để mô phỏng các cuộc tấn công một cách an toàn. Mọi URL nhúng được mở trong các trình duyệt ảo với khả năng thực thi script đầy đủ.

Điều này giúp phát hiện các chiến thuật như chuyển hướng tài liệu giả mạo và tìm nạp mã độc do JavaScript khởi tạo trước khi các mối đe dọa tiếp cận hộp thư đến của người dùng.

Bằng cách sử dụng email để phân phối và trình duyệt web để truy xuất payload, tin tặc vượt qua các biện pháp bảo mật truyền thống chỉ kiểm tra từng thành phần riêng lẻ.

Thành công của bộ công cụ MatrixPDF nhấn mạnh nhu cầu cấp thiết về các chiến lược bảo mật toàn diện. Các chiến lược này phải phân tích toàn bộ chuỗi tấn công thay vì chỉ các thành phần riêng lẻ.

Khi các tác nhân độc hại tiếp tục phát triển các kỹ thuật lẩn tránh tinh vi, các tổ chức phải triển khai khả năng phát hiện tấn công nâng cao. Khả năng này có thể xác định và chặn các cuộc tấn công PDF đa giai đoạn trước khi chúng xâm phạm hệ thống của người dùng.

Sự xuất hiện của MatrixPDF cho thấy cách tin tặc liên tục điều chỉnh phương pháp của mình để khai thác lòng tin của người dùng và các hạn chế công nghệ. Các tổ chức phải luôn cảnh giác và triển khai các phương pháp bảo mật đa lớp để bảo vệ chống lại các mối đe dọa dựa trên PDF đang phát triển này, vốn làm mờ ranh giới giữa tài liệu hợp pháp và các vector tấn công PDF độc hại.