PDF-huijausvaroitus, joka mahdollistaa matkapuhelimien ja tietokoneiden hallinnan

Viimeisin päivitys: 10/10/2025
Kirjoittaja: Isaac
  • Hyökkääjät käyttävät linkkejä, näkymättömiä kerroksia ja QR-koodeja sisältäviä PDF-tiedostoja etäkäytön suorittamiseen ja tietojen varastamiseen.
  • Kampanjat matkivat brändejä, kuten Microsoftia tai DocuSignia, ja ohittavat suodattimet laillisilla Microsoft 365 -lähetyksillä.
  • Mobiililaitteilla maailmanlaajuinen operaatio otti käyttöön yli 20 PDF-tiedostoa ja 630 tietojenkalastelusivua yli 50 maassa.
  • Suojaa itseäsi: Vahvista lähettäjät, käytä hiekkalaatikkoa, älä myönnä etäkäyttöä ja ota käyttöön 2FA.

PDF-tiedostoihin ja laitteen etähallintaan liittyvä huijaus

Uusi huijausaalto hyödyntää luota siihen, että PDF-tiedostot luovat Tunkeutuakseen matkapuhelimiin ja tietokoneisiin. Rikolliset lähettävät näennäisesti tavallisia asiakirjoja, jotka avattaessa käynnistävät latauksia tai yhteyksiä heidän hallitsemiinsa sivustoihin tavoitteenaan saada laite kokonaan hallintaansa.

Tuoreet tutkimukset osoittavat, että nämä kampanjat sekoittuvat sosiaalinen manipulointi, piilotetut linkit ja seurantapuheluita teknisten ja inhimillisten suojakeinojen kiertämiseksi. Tämä voi johtaa tunnistetietojen, kameran ja mikrofonin käyttöoikeuksien varastamiseen tai etäkäyttötyökalujen hiljaiseen asennukseen.

Miten PDF-huijaus toimii

Petos perustuu siihen, että ko. PDF-muotoa pidetään "turvallisena" Sekä henkilökohtaisessa että yritysmaailmassa tiedostot saapuvat sähköpostin, viestien tai sosiaalisen median välityksellä yleisillä verukkeilla, kuten laskuilla, toimitusilmoituksilla tai maksukuiteilla.

Dokumentin sisällä ne voidaan piilottaa haitallisia elementtejä kuten:

  • Naamioidut linkit, jotka johtavat väärennetyille kirjautumissivuille.
  • QR-koodit, jotka ohjaavat haittaohjelmien latauksiin.
  • Kommentit tai näkymättömät tasot, joissa on skriptejä tai tunnistepyyntöjä.

Useat ryhmät yhdistävät tämän houkutuksen taktiikkaan, jossa Takaisinsoittojen tietojenkalastelu (TOAD)PDF-tiedoston jälkeen väärennetty "tuki" soittaa uhrille ja suostuttelee tämän asentamaan etähallintaohjelmiston (esim. AnyDesk tai Quick Assist). Tällä toimenpiteellä hyökkääjä saa haltuunsa laitteiden kokonaisvaltainen hallinta ilman tarvetta hyödyntää monimutkaista haavoittuvuutta.

  Starlink Mini: Elon Muskin kannettava satelliitti-internet nyt saatavilla

Kampanjat, jotka matkivat brändejä ja kiertävät suodattimia

Touko- ja kesäkuun välisenä aikana sähköpostien määrässä havaittiin kasvua PDF-liitteet, jotka tekeytyvät Microsoftiksi tai DocuSigniksi uskottavuuden lisäämiseksi. Joissakin tapauksissa sähköpostit lähetettiin käyttämällä laillisia Microsoft 365 -määrityksiä (suora lähetys), minkä vuoksi tietojenkalastelusuodattimien oli vaikea havaita niitä.

Hyökkäykset haitallisilla PDF-tiedostoilla ja tietojenkalastelulla

Tekniset analyysit kuvaavat PDF-tiedostoja upotetut lomakkeet, kuten ne, joita käytetään luoda muokattavia PDF-tiedostoja, jotka linkittävät väärennettyihin portaaleihin, manipuloituun metadataan peitellyillä URL-osoitteilla ja sähköpostiketjuilla, jotka näyttävät tulevan laillisista virroista ohitusohjaimet kehä.

  • Lomakkeet, jotka tallentavat käyttäjätunnuksen ja salasanan kloonatuilla sivustoilla.
  • Metatietoihin tai näkymättömiin tasoihin piilotetut URL-osoitteet.
  • Kelvollisista yrityspalveluista lähetetyt viestit epäilysten vähentämiseksi.

Mobiililaitteet valokeilassa

Mobiilipuolella riippumaton tutkimus osoitti, että kampanja, joka jäljitteli postipalvelua oletettujen toimitusten PDF-tiedostoilla; siksi on tärkeää tietää PDF-tiedoston avaaminen matkapuhelimellaTavoitteena oli ohjata käyttäjät tietojenkalastelusivuille tai latauksiin, jotka helpottivat puhelimen haltuunottoa.

Samassa tutkimuksessa raportoitiin yli 20 haitallista PDF-tiedostoa levinnyt maailmanlaajuisesti, ainakin 630 aktiivista tietojenkalastelusivua ja toimintaa yli 50 maassa, mikä vahvistaa kansainvälisellä tasolla tästä modaliteetista.

Asiakirjoissa oli linkkejä näkymättömissä tasoissa, mikä tekee analyysistä vaikeaa joidenkin mobiililaitteiden virustorjuntaohjelmien avulla. Lisäksi pienillä näytöillä ja kiireessä käyttäjillä on vähemmän aikaa tarkistaa PDF-tiedosto ennen sen avaamista.

Miksi PDF on ensisijainen kanava

Kyberturvallisuuden seurantakeskukset huomauttavat, että haitalliset PDF-tiedostot muodostavat jo merkittävän osan sähköpostitse levitetty haittaohjelma, joissakin mittauksissa yli 20 %. Muoto on hyökkääjille houkutteleva useista syistä.

  • Se nauttii käyttäjien ja yritysjärjestelmien luottamusta.
  • Joillakin virustorjuntaohjelmilla on tarkastusrajoitukset sen sisäisessä sisällössä.
  • Voit upottaa salattua tai fragmentoitua materiaalia, joka Se aktivoituu avattaessa.
  Microsoft SharePoint -palvelimien uudet haavoittuvuudet uhkaavat maailmanlaajuista tietoturvaa

Myös PDF-tiedostojen käyttöä pankkitroijalaisten kanavana on havaittu. spyware, laajentaen vaikutusta sekä koteihin että yrityksiin.

Latinalaisessa Amerikassa havaittu tartuntaketju

Asiantuntijat ovat dokumentoineet alueella toteutetun kampanjan, jossa etäkäyttötroijalainen (RAT) nimeltä Ratty, jaettiin sähköpostitse laskutustietoineen. Vaikka se oli yleisintä Perussa, tämäntyyppinen operaatio voi levitä nopeasti.

Tyypillinen sekvenssi alkaa tiedostolla ”Invoice.pdf”, joka sisältää linkki HTML-sivulleKun se avataan, VBS-skripti ladataan ja suoritetaan, mikä puolestaan ​​tuo RAT-haittaohjelman sisään. Sisään päästyään hyökkääjä voi ota kuvakaappaus, käytä kameraa ja mikrofonia tai tallenna näppäinpainalluksia.

Sen lisätoimintoihin kuuluvat: automaattinen kirjautuminen, hiiren ohjaus ja näytön jäädyttäminen sekä tietojen vuotaminen. Pilvipalvelut, jotka tunnetaan nimellä Google Drive, Dropbox tai MediaFire, mikä parantaa toimitusnopeutta.

Etätyön lisääntyminen yhdistettynä yhteyksiin julkiset Wi-Fi-verkot, saa monet käyttäjät tarkistamaan yritysten sähköpostit valvottujen ympäristöjen ulkopuolella, mikä avaa lisäoven tällaiselle tunkeutumiselle.

Riskimerkit ja miten suojautua

Yleissääntönä on välttää avaamista Odottamattomat PDF-tiedostot, vaikka ne näyttäisivät olevan tutusta tahosta. Ole varovainen kiireellisten tai uhkaavien viestien suhteen ja tarkista lähettäjän koko osoite ennen kuin käsittelet asiakirjaa.

  • Älä avaa tuntemattomilta tai odottamattomilta lähettäjiltä tulevia PDF-tiedostoja.
  • Tarkista koko sähköposti ja verkkotunnukset, vaikka nimi olisikin tuttu.
  • Älä skannaa QR koodit pyytämättömissä asiakirjoissa.
  • Pidä PDF-lukuohjelmasi ja virustorjuntaohjelmistosi ajan tasalla.
  • Tarkista metatiedot ja esikatsele tiedostoa ennen linkkien tai lomakkeiden napsauttamista.
  • Analysoi asiakirjoja ympäristöissä hiekkalaatikko kun se on mahdollista.
  • Kouluta työntekijöitä havaitsemaan sosiaalisen manipuloinnin ja kiireellisyyden merkit.
  • Käytä vahvoja salasanoja ja ota käyttöön kahden tekijän todennus.
  • Asenna mobiililaitteisiin suojaustoimintoja, jotka havaitsevat tietojenkalastelulinkkejä ja poikkeavaa toimintaa.
  • Jos olet epävarma, lataa tiedosto palveluun, kuten VirusTotal ennen sen avaamista.
  • Älä myönnä etäkäyttöä tai asenna valvontatyökaluja tuntemattomien pyynnöstä.
  Palo Alto Networks vahvistaa kyberturvallisuuttaan uusilla liittoumilla ja yritysostoilla

Jos epäilet avanneesi haitallisen PDF-tiedoston, muuta tärkeät tunnistetiedot ja tarkista sovellusten permisos (kamera, mikrofoni, tiedostot), suorita täysi tarkistus ja asenna kaikki odottavat järjestelmä- ja sovelluspäivitykset.

PDF-tiedostojen haitallinen käyttö ei ole uutta, mutta niiden yhdistelmä uskottavia vieheitä, suodattimien kiertäminen ja vilpillinen puhelintuki ovat tehneet siitä erityisen kannattavan vektorin hyökkääjille; heidän temppujensa tunteminen ja digitaalisen hygienian perustoimenpiteiden soveltaminen ratkaisee nykyään, lankeaako ansaan vai neutraloiko sen ajoissa.

Aiheeseen liittyvä artikkeli:
Kuinka tehdä muutoksia PDF-tiedostoon