Um novo toolkit de phishing e distribuição de malware chamado MatrixPDF está preocupando especialistas em segurança.
A ferramenta permite que atacantes convertam arquivos PDF comuns em iscas interativas, capazes de driblar as proteções de segurança de e-mails e redirecionar vítimas para páginas de roubo de credenciais ou downloads maliciosos.
Pesquisadores da Varonis identificaram o MatrixPDF pela primeira vez em um fórum de cibercrime.
Segundo a equipe, o vendedor do kit usa também o Telegram como canal direto para contato com os compradores.
O desenvolvedor promove o MatrixPDF como uma solução para simulação de phishing e exercícios de blackteaming (testes avançados de ataque).
Porém, conforme explicou o pesquisador Daniel Kelley à BleepingComputer, a ferramenta já é ofertada em ambientes ilícitos.
Um anúncio compartilhado revela que o MatrixPDF é “um construtor de documentos avançado para phishing em PDFs com ações em JavaScript, pensado para equipes de black team e treinamentos de conscientização em cibersegurança”.
Entre os destaques da ferramenta estão a importação drag-and-drop (arrastar e soltar), visualização em tempo real e sobreposições (overlays) personalizáveis para criar cenários realistas de phishing.
O toolkit também traz proteções internas, como desfoque de conteúdo (content blur), mecanismo seguro de redirecionamento, criptografia de metadados e bypass para Gmail — recursos que garantem autenticidade e entrega confiável em ambientes controlados.
O MatrixPDF é comercializado em planos que variam de 400 a 1.500 dólares, dependendo da duração da licença, podendo chegar a um ano.
Um relatório da Varonis detalha que o construtor permite carregar PDFs legítimos como isca e acrescentar funcionalidades maliciosas, incluindo conteúdo desfocado, mensagens falsas de “Documento Seguro” e botões clicáveis que levam a URLs com payloads externos.
Além disso, o MatrixPDF insere scripts em JavaScript acionados na abertura do documento ou ao clicar em elementos interativos, que podem tentar abrir sites ou executar outras ações maliciosas.
O recurso de desfoque faz com que o PDF pareça conter informações protegidas, com um botão “Abrir Documento Seguro” que, ao ser clicado, direciona o usuário para uma página de phishing ou distribui malware.
Em testes realizados pela Varonis, os PDFs maliciosos conseguiram passar pelos filtros de phishing do Gmail, chegando diretamente à caixa de entrada.
Isso ocorre porque os arquivos não possuem binários maliciosos embutidos, apenas links externos.
“O visualizador de PDF do Gmail não executa JavaScript nos arquivos, mas permite links e anotações clicáveis”, explica a Varonis.
“Dessa forma, o botão do PDF simplesmente abre um site externo no navegador do usuário.
Esse design inteligente contorna a segurança do Gmail: o escaneamento do arquivo não detecta nada suspeito, e o conteúdo malicioso só é carregado depois que o usuário clica, parecendo uma ação iniciada pelo próprio.”
Outra demonstração mostrou que, em alguns casos, só abrir o PDF já tenta abrir um site externo.
Contudo, essa funcionalidade tem limitações, pois visualizadores modernos costumam alertar o usuário sobre conexões remotas feitas pelo documento.
A Varonis alerta que PDFs são vetores preferidos por atacantes em campanhas de phishing justamente por serem formatos muito usados e facilmente exibidos pelas plataformas de e-mail, muitas vezes sem avisos.
Segundo a empresa, soluções de segurança baseadas em IA, que analisam a estrutura do PDF, detectam overlays desfocados e falsas mensagens, além de executar URLs em sandbox, são fundamentais para bloquear esses ataques antes que cheguem ao destinatário.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...