Selon une analyse publiée par Varonis (blog), MatrixPDF est un toolkit de cybercriminalité qui convertit des fichiers PDF légitimes en vecteurs de phishing et de livraison de malware.
• Ce kit permet d’embarquer du JavaScript malveillant, de créer de faux invites de documents sécurisés, de flouter le contenu et de rediriger les victimes vers des sites d’hébergement de charges utiles. Il mise sur la confiance accordée aux PDF et sur des surcouches de social engineering pour inciter à l’interaction.
• Méthode 1 (email/preview) : exploitation de la prévisualisation PDF de Gmail via des liens/annotations cliquables qui contournent les restrictions JavaScript de Gmail. En cliquant sur de faux boutons « Open Secure Document », l’utilisateur est redirigé vers des sites externes où les téléchargements se font dans le navigateur, séparant le mécanisme initial de la récupération du payload et contournant ainsi les contrôles de sécurité email.
• Méthode 2 (lecteurs desktop) : usage du JavaScript PDF (ex. app.launchURL() ou actions de soumission de formulaire) exécuté à l’ouverture dans des lecteurs PDF de bureau, déclenchant une connexion automatique à des URL contrôlées par l’attaquant. La chaîne d’attaque peut s’appuyer sur des demandes d’approbation des lecteurs PDF et l’obfuscation par short URLs.
• Détection et analyse : des solutions email dopées à l’IA peuvent repérer ces attaques via l’analyse structurelle des PDF, la simulation d’interactions en sandbox et l’identification d’intentions malveillantes au-delà des signatures. Les signaux clés incluent les overlays de flou, les boutons aux actions suspectes, les scripts embarqués avec connexions externes et l’exécution sandboxée des URL pour dévoiler chaînes de redirection et récupération de payloads avant livraison en boîte de réception.
• IOCs et TTPs
- IOCs : aucun indicateur spécifique fourni (pas d’IP, domaines ou hachages explicités).
- TTPs :
- 🪄 Injection de JavaScript PDF et actions
app.launchURL()/form actions - 🎭 Faux prompts « document sécurisé » et surcouches floutées incitant au clic
- 🔗 Liens/annotations cliquables en aperçu Gmail pour rediriger hors du périmètre des filtres
- 🧩 Séparation livraison initiale / récupération du payload pour contourner les filtres email
- 🕶️ Short URLs pour l’obfuscation
- 🖥️ Déclenchement automatique à l’ouverture dans les lecteurs PDF desktop
- 🪄 Injection de JavaScript PDF et actions
Type d’article : analyse de menace présentant les méthodes d’attaque et les pistes de détection.
🧠 TTPs et IOCs détectés
TTPs
Injection de JavaScript PDF et actions app.launchURL()/form actions, Faux prompts « document sécurisé » et surcouches floutées incitant au clic, Liens/annotations cliquables en aperçu Gmail pour rediriger hors du périmètre des filtres, Séparation livraison initiale / récupération du payload pour contourner les filtres email, Short URLs pour l’obfuscation, Déclenchement automatique à l’ouverture dans les lecteurs PDF desktop
IOCs
Aucun indicateur spécifique fourni (pas d’IP, domaines ou hachages explicités)
🔗 Source originale : https://www.varonis.com/blog/matrixpdf
🖴 Archive : https://web.archive.org/web/20250930201806/https://www.varonis.com/blog/matrixpdf