Criminosos usam PDFs adulterados com JavaScript para disseminar malware e roubar credenciais, explorando falhas de segurança em visualizadores de e-mail e leitores desktop.
INTELIGÊNCIA ARTIFICIAL
Resumo rápido gerado automaticamente
Com o objetivo de roubar dados de usuários, cibercriminosos estão utilizando um novo kit de phishing e malware que transforma documentos PDF em ferramentas de ataques. A ameaça, identificada como “MatrixPDF”, emprega sobreposições, prompts clicáveis e JavaScript embutido para enganar filtros de e-mail e adicionar recursos maliciosos a arquivos aparentemente confiáveis.
De acordo com investigação jornalística, os criminosos podem inserir links nos PDFs modificados que direcionam o usuário para sites de malware ou phishing. O golpe visa tanto o roubo de credenciais quanto a aplicação de técnicas de engenharia social. A empresa de softwares Varonis descobriu que o MatrixPDF tem sido compartilhado em grupos de cibercriminosos e utilizado de duas formas principais.
No primeiro cenário, os arquivos PDF gerados pelo MatrixPDF são projetados para burlar filtros de segurança de e-mail e explorar a pré-visualização de PDF do cliente de e-mail para implantar malware. O atacante envia o PDF adulterado como anexo da mensagem. Serviços como o Gmail escaneiam anexos em busca de binários maliciosos; como o PDF modificado traz apenas scripts e links externos, muitas vezes passa sem sinalização. No visualizador, o arquivo aparece normal, com texto borrado e uma sobreposição pedindo para “Abrir Documento Seguro”. Esse botão é a isca: ao clicar, o usuário é levado a uma URL externa que pode roubar credenciais ou iniciar o download de malware.
O truque técnico é sutil — em vez de um hiperlink padrão, o PDF usa um botão ou um link acionado por script — o que evita detecção automática. O visualizador do Gmail não executa JavaScript em PDFs, mas permite links e anotações clicáveis; assim, o clique simplesmente abre o site no navegador do usuário. Como a ação é iniciada pelo usuário, a verificação do e-mail não registra a carga maliciosa, o download ocorre fora da sandbox do serviço e é tratado como um download iniciado pelo próprio navegador. Na prática, para a vítima o fluxo parece legítimo: ela clica num botão de um suposto “documento seguro” e, sem perceber, recebe um arquivo. Essa divisão entre entrega (e-mail) e execução (web) é o que torna o MatrixPDF eficaz: o arquivo parece inofensivo até a interação do usuário.
O segundo método apoiado pelo MatrixPDF usa JavaScript embutido no próprio PDF para entregar malware de forma mais direta. Nesse caso, a vítima abre o arquivo num leitor de desktop (como o Adobe Acrobat, por exemplo) ou num visualizador que permite a execução de scripts do navegador. O construtor do MatrixPDF injeta um script em nível de documento ou uma ação de formulário que dispara ao abrir o PDF — normalmente tentando conectar automaticamente à URL da carga e iniciar um download. Ao abrir o PDF adulterado, a maioria dos leitores mostra um aviso de segurança: o documento está tentando acessar um recurso externo. No teste, o PDF foi configurado para chamar uma URL encurtada — uma tática comum de engenharia social porque domínios curtos podem parecer inofensivos. Se a vítima clica em “Permitir”, o script usa chamadas da API do leitor (por exemplo, app.launchURL()) para buscar a carga e salvar o arquivo no dispositivo. A partir daí o ataque vira um drive-by download: ou seja, o usuário recebe um executável malicioso — no exemplo, o putty.exe — com a desculpa de que precisa permitir o acesso para ver um “documento seguro”.
Esse método é perigoso porque não depende de um clique em um link no navegador, já que o próprio PDF pode iniciar o download. Mas ainda exige que o usuário autorize o alerta de segurança — e muitos acabam clicando “Permitir” por hábito ou por confiar no contexto do documento. A Varonis aponta que ferramentas de defesa impulsionadas por Inteligência Artificial podem ajudar nesses casos, pois são capazes de identificar e bloquear o ataque antes que ele chegue à caixa de e-mail das vítimas. Algumas boas práticas de segurança incluem não clicar em “Permitir” automaticamente, confirmar o remetente por outro canal antes de autorizar qualquer coisa, abrir PDFs em visualizadores que não executam JavaScript, manter o leitor de PDF atualizado e evitar abrir PDFs em leitores desktop se não confiar na origem. Além disso, recomenda-se usar um antivírus e políticas que bloqueiem downloads de executáveis automaticamente.
