MatrixPDF vizează utilizatorii Gmail
Sursă: https://cybersecuritynews.com
O nouă campanie malware numită MatrixPDF a fost identificată, vizând utilizatorii Gmail cu e-mailuri atent elaborate, ce evită filtrele clasice de spam și phishing.
Această campanie este activă din mijlocul lunii septembrie 2025 și utilizează atașamente PDF care, odată deschise, inițiază un lanț de infectare ascuns, conceput pentru a sustrage informații sensibile și a lansa payload-uri suplimentare.
Primele informații sugerează că atacatorii exploatează încrederea în documentele PDF prin încorporarea de scripturi ascunse și utilizarea serviciilor legitime de hosting în cloud pentru a găzdui payload-uri malițioase, ceea ce face detectarea mult mai deficilă.
Prima serie de atacuri a constat în trimiterea de e-mailuri care se prezentau ca fiind comunicări interne, cu antete realiste și adrese de expeditor falsificate pentru a semăna cu domenii de încredere.
Fiecare e-mail conține un atașament PDF numit MatrixDoc.pdf, care pare inofensiv în previzualizare. Cu toate acestea, PDF-ul este creat cu obiecte malițioase și o acțiune JavaScript încorporată care se execută automat atunci când documentul este deschis în programe compatibile.
Specialiștii au observat că acel cod JavaScript folosește tehnici de ofuscare personalizate, inclusiv concatenarea șirurilor de caractere și scheme de codificare non-standard, pentru a evita analiza statică.
Examinarea documentelor rău intenționate a revelat că scriptul încorporat utilizează funcția util.printf() pentru a reconstrui și executa dinamic o comandă PowerShell.
Prin concatenarea mai multor scripturi de decodare, malware-ul apelează în final la: this.exportDataObject({cName: „payload.scr”, nLaunch: 2}); declanșând executarea unui fișier executabil secundar sub forma unui fișier screensaver. Payload-ul PowerShell accesează apoi un bucket de stocare în cloud pentru a descărca module suplimentare, stabilind comunicații de comandă și control.
Analizele suplimentare au relevat că, odată ce payload-ul secundar este activ, acesta înregistrează un mecanism de persistență prin crearea unui task programat ascuns numit MatrixUpdater.
Acest task rulează la fiecare oră, asigurându-se că malware-ul se poate actualiza singur sau poate prelua noi instrucțiuni fără intervenția utilizatorului. Evitarea detectării este îmbunătățită prin conexiuni de rețea intermitente și nume de task-uri aleatorii care se schimbă cu fiecare infectare.
Analizând mecanismul de infectare, MatrixPDF începe cu PDF JavaScript care exploatează API-ul exportDataObject pentru a extrage și lansa fișierul .scr rău intenționat.
Scriptul încorporat reconstruiește o comandă PowerShell codificată în Base64 prin asamblarea mai multor fragmente de șiruri de caractere.
Scriptul utilizează, de asemenea, serviciul Windows Management Instrumentation (WMI) pentru a verifica infectările existente, prevenind instalările duplicate.
După descărcarea cu succes, scriptul PowerShell scrie payload-ul în %APPDATA%\Local\Matrix\matrix.exe și configurează un task programat ascuns pentru persistență.
Monitorizarea continuă și analiza PDF bazată pe euristică sunt esențiale pentru detectarea și atenuarea acestei amenințări.
Sursă: https://cybersecuritynews.com/matrixpdf-attacks-gmail-users-bypassing-email-filters/
