Sajber kriminalci su značajno pojačali upotrebu PDF priloga kao vektora napada, koristeći povjerljivi format dokumenata za imitiranje velikih brendova, uključujući Microsoft, DocuSign, Dropbox, PayPal i Adobe u sofisticiranim kampanjama za krađu identiteta.
Ovi napadi iskorištavaju široko povjerenje koje korisnici imaju u PDF dokumente, pretvarajući ono što bi trebalo biti bezbjedno dijeljenje sadržaja u ulazna vrata za krađu akreditiva i finansijske prevare.
Maliciozne kampanje djeluju kroz više vektora napada, pri čemu hakeri ugrađuju cijele fišing e-mailove unutar PDF priloga kako bi izbjegli tradicionalne bezbjednosne filtere elektronske pošte.
Kapsuliranjem brendiranih logotipa, lažnih faktura i obmanjujućeg sadržaja direktno u PDF fajlove, napadači zaobilaze sisteme za tekstualnu analizu koji obično označavaju sumnjiv sadržaj e-pošte.
Prenosiva priroda PDF-ova čini ih idealnim sredstvima za isporuku uvjerljivih imitacija brendova na različitim platformama i uređajima.
Ovi napadi su evoluirali izvan jednostavnog fišinga putem e-pošte kako bi uključili isporuku napada usmjerenih na telefon (TOAD), takođe poznatih kao povratna krađa identiteta, gdje žrtve primaju PDF priloge koji sadrže lažne fakture ili bezbjednosna upozorenja s ugrađenim brojevima telefona.
Analitičari Cisco Talosa identifikovali su brojne slučajeve u kojima su napadači koristili VoIP brojeve (Voice over Internet Protocol) za očuvanje anonimnosti prilikom sprovođenja ovih operacija socijalnog inženjeringa.
Geografski opseg ovih kampanja je globalan, s istraživačima koji bilježe koncentrisanu aktivnost usmjerenu na korisnike u Sjedinjenim Američkim Državama tokom istraživačkog perioda od 5. maja do 5. juna 2025.
Analiza je otkrila da su Microsoft i DocuSign postali najčešće imitirani brendovi, dok su NortonLifeLock, PayPal i Best Buy’s Geek Squad dominirali u napadima zasnovanim na TOAD tehnici.
Najsofisticiraniji aspekt ovih kampanja uključuje stratešku upotrebu QR kodova ugrađenih u PDF priloge, stvarajući višeslojni mehanizam obmane.
Napadači pozicioniraju QR kodove uz vjerodostojne komunikacije brendova, usmjeravajući žrtve da skeniraju kodove koji preusmjeravaju na fišing stranice zaštićene CAPTCHA-om, dizajnirane za prikupljanje akreditiva.
Istraživači Cisco Talosa otkrili su da hakeri eksploatišu PDF anotacije kako bi sakrili maliciozne URL-ove, istovremeno održavajući legitimitet dokumenta.
U analiziranim uzorcima, napadači su ugradili više URL-ova unutar PDF anotacija, pri čemu se jedan URL (https://eu1.documents.adobe.com/public/) činio legitimnim, dok je sekundarna anotacija sadržavala stvarno odredište za krađu identiteta (https://schopx.com/r?).
Ova tehnika omogućava vidljivom QR kodu da poveže pouzdanu stranicu, gradeći povjerenje žrtve prije nego što skrivena anotacija preusmjeri na maliciozni kraj.
Zloupotreba se proširuje na Adobeove usluge e-potpisivanja, gdje se cijeli fišing dokumenti učitavaju i distribuiraju putem legitimne Adobe infrastrukture.
Jedan dokumentovani slučaj uključivao je imitaciju PayPala tvrdeći naplatu od 699,00 USD za “Apple iPad Air 11-inčni Wi-Fi 256GB-Blue”, zajedno s ID-om transakcije #08345049MC0STO958308328 i brojem za povratni poziv +1 (820)-206-4931.
Ovo pokazuje kako napadači slažu QR kodove s imitacijom brendova, dok slijed napada ilustruje potpuni TOAD slijed – od početnog primitka e-pošte do manipulacije žrtve i preuzimanja malicioznih fajlova.