02 out MatrixPDF: novo golpe utiliza documentos parar roubar dados de usuários
Cibercriminosos estão usando um novo kit de phishing e malware para transformar PDFs em ferramentas de ataques. A ameaça foi nomeada de “Matrix PDF” e usa sobreposições, prompts clicáveis e JavaScript embutido para enganar filtros de e-mail e adicionar recursos maliciosos a arquivos aparentemente confiáveis.
A partir do PDF modificado, os criminosos podem entregar links que direcionam o usuário para sites de malware ou phishing. O golpe visa roubo de credenciais e engenharia social.
O MatrixPDF, descoberto pela Varonis, empresa de softwares, tem sido compartilhado em grupos de cibercriminosos e há dois principais modos como ele está sendo utilizado.
No primeiro cenário, os arquivos PDF gerados pelo MatrixPDF são projetados para burlar filtros de segurança de e-mail e explorar a pré-visualização de PDF do cliente de e-mail para implantar malware. O atacante envia o PDF adulterado como anexo da mensagem.
Serviços como o Gmail escaneiam anexos em busca de binários maliciosos; como o PDF modificado traz apenas scripts e links externos, muitas vezes passa sem sinalização.
No visualizador, o arquivo aparece normal, com texto borrado e uma sobreposição pedindo para “Abrir Documento Seguro”. Esse botão é a isca: ao clicar, o usuário é levado a uma URL externa que pode roubar credenciais ou iniciar o download de malware.
O truque técnico é sutil — em vez de um hiperlink padrão, o PDF usa um botão ou um link acionado por script — o que evita detecção automática. O visualizador do Gmail não executa JavaScript em PDFs, mas permite links e anotações clicáveis; assim, o clique simplesmente abre o site no navegador do usuário.
Como a ação é iniciada pelo usuário, a verificação do e-mail não registra a carga maliciosa, o download ocorre fora da sandbox do serviço e é tratado como um download iniciado pelo próprio navegador.
Na prática, para a vítima o fluxo parece legítimo: ela clica num botão de um suposto “documento seguro” e, sem perceber, recebe um arquivo. Essa divisão entre entrega (e-mail) e execução (web) é o que torna o MatrixPDF eficaz: o arquivo parece inofensivo até a interação do usuário.
Malware pode embutir JavaScript em PDF
O segundo método apoiado pelo MatrixPDF usa JavaScript embutido no próprio PDF para entregar malware de forma mais direta. Nesse caso, a vítima abre o arquivo num leitor de desktop (como o Adobe Acrobat, por exemplo) ou num visualizador que permite a execução de scripts do navegador.
O construtor do MatrixPDF injeta um script em nível de documento ou uma ação de formulário que dispara ao abrir o PDF — normalmente tentando conectar automaticamente à URL da carga e iniciar um download.
Ao abrir o PDF adulterado, a maioria dos leitores mostra um aviso de segurança: o documento está tentando acessar um recurso externo. No teste, o PDF foi configurado para chamar uma URL encurtada — uma tática comum de engenharia social porque domínios curtos podem parecer inofensivos. Se a vítima clica em “Permitir”, o script usa chamadas da API do leitor (por exemplo, app.launchURL()) para buscar a carga e salvar o arquivo no dispositivo.
A partir daí o ataque vira um drive-by download: ou seja, o usuário recebe um executável malicioso — no exemplo, o putty.exe — com a desculpa de que precisa permitir o acesso para ver um “documento seguro”.
Esse método é perigoso porque não depende de um clique em um link no navegador, já que o próprio PDF pode iniciar o download. Mas ainda exige que o usuário autorize o alerta de segurança — e muitos acabam clicando “Permitir” por hábito ou por confiar no contexto do documento.
Como se proteger?
De acordo com a Varonis, no momento, a única coisa que pode ajudar nesses casos são ferramentas de defesa impulsionadas por Inteligência Artificial, porque elas são capazes de identificar e bloquear o ataque antes que ele chegue à caixa de e-mail das vítimas. Mas algumas boas práticas de segurança podem te ajudar a se prevenir:
Não clique “Permitir” automaticamente: reflita sobre o porquê um documento precisa acessar a web;Confirme o remetente por outro canal antes de autorizar qualquer coisa;Abra PDFs em visualizadores que não executam JavaScript (muitos visualizadores têm opção para desativar scripts);Mantenha o leitor de PDF atualizado;Evite abrir PDFs em leitores desktop se não confiar na origem: prefira visualizar em serviços que renderizam em modo “somente leitura” ou que não executam scripts;Use um antivírus e políticas que bloqueiem downloads de executáveis automaticamente (no navegador/endpoint).