Um novo toolkit de phishing e distribuição de malware chamado MatrixPDF está preocupando especialistas em segurança.
A ferramenta permite que atacantes convertam arquivos PDF comuns em iscas interativas, capazes de driblar as proteções de segurança de e-mails e redirecionar vítimas para páginas de roubo de credenciais ou downloads maliciosos.
Pesquisadores da Varonis identificaram o MatrixPDF pela primeira vez em um fórum de cibercrime.
Segundo a equipe, o vendedor do kit usa também o Telegram como canal direto para contato com os compradores.
O desenvolvedor promove o MatrixPDF como uma solução para simulação de phishing e exercícios de blackteaming (testes avançados de ataque).
Porém, conforme explicou o pesquisador Daniel Kelley à BleepingComputer, a ferramenta já é ofertada em ambientes ilícitos.
Um anúncio compartilhado revela que o MatrixPDF é “um construtor de documentos avançado para phishing em PDFs com ações em JavaScript, pensado para equipes de black team e treinamentos de conscientização em cibersegurança”.
Entre os destaques da ferramenta estão a importação drag-and-drop (arrastar e soltar), visualização em tempo real e sobreposições (overlays) personalizáveis para criar cenários realistas de phishing.
O toolkit também traz proteções internas, como desfoque de conteúdo (content blur), mecanismo seguro de redirecionamento, criptografia de metadados e bypass para Gmail — recursos que garantem autenticidade e entrega confiável em ambientes controlados.
O MatrixPDF é comercializado em planos que variam de 400 a 1.500 dólares, dependendo da duração da licença, podendo chegar a um ano.
Um relatório da Varonis detalha que o construtor permite carregar PDFs legítimos como isca e acrescentar funcionalidades maliciosas, incluindo conteúdo desfocado, mensagens falsas de “Documento Seguro” e botões clicáveis que levam a URLs com payloads externos.
Além disso, o MatrixPDF insere scripts em JavaScript acionados na abertura do documento ou ao clicar em elementos interativos, que podem tentar abrir sites ou executar outras ações maliciosas.
O recurso de desfoque faz com que o PDF pareça conter informações protegidas, com um botão “Abrir Documento Seguro” que, ao ser clicado, direciona o usuário para uma página de phishing ou distribui malware.
Em testes realizados pela Varonis, os PDFs maliciosos conseguiram passar pelos filtros de phishing do Gmail, chegando diretamente à caixa de entrada.
Isso ocorre porque os arquivos não possuem binários maliciosos embutidos, apenas links externos.
“O visualizador de PDF do Gmail não executa JavaScript nos arquivos, mas permite links e anotações clicáveis”, explica a Varonis.
“Dessa forma, o botão do PDF simplesmente abre um site externo no navegador do usuário.
Esse design inteligente contorna a segurança do Gmail: o escaneamento do arquivo não detecta nada suspeito, e o conteúdo malicioso só é carregado depois que o usuário clica, parecendo uma ação iniciada pelo próprio.”
Outra demonstração mostrou que, em alguns casos, só abrir o PDF já tenta abrir um site externo.
Contudo, essa funcionalidade tem limitações, pois visualizadores modernos costumam alertar o usuário sobre conexões remotas feitas pelo documento.
A Varonis alerta que PDFs são vetores preferidos por atacantes em campanhas de phishing justamente por serem formatos muito usados e facilmente exibidos pelas plataformas de e-mail, muitas vezes sem avisos.
Segundo a empresa, soluções de segurança baseadas em IA, que analisam a estrutura do PDF, detectam overlays desfocados e falsas mensagens, além de executar URLs em sandbox, são fundamentais para bloquear esses ataques antes que cheguem ao destinatário.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...