Sajber kriminalci su značajno pojačali upotrebu PDF privitaka kao vektora napada, koristeći povjerljivi format dokumenata za imitiranje velikih brendova, uključujući Microsoft, DocuSign, Dropbox, PayPal i Adobe u sofisticiranim kampanjama za krađu identiteta.
Ovi napadi iskorištavaju široko povjerenje koje korisnici imaju u PDF dokumente, pretvarajući ono što bi trebalo biti sigurno dijeljenje datoteka u ulazna vrata za krađu akreditiva i financijske prijevare.
Zlonamjerne kampanje djeluju kroz više vektora napada, pri čemu hakeri ugrađuju cijele phishing e-mailove unutar PDF privitaka kako bi izbjegli tradicionalne sigurnosne filtere e-pošte.
Kapsuliranjem brendiranih logotipa, lažnih faktura i obmanjujućeg sadržaja izravno u PDF datoteke, napadači zaobilaze sustave za tekstualnu analizu koji obično označavaju sumnjivi sadržaj e-pošte.
Prijenosna priroda PDF-ova čini ih idealnim vozilima za isporuku uvjerljivih imitacija brendova na različitim platformama i uređajima.
Ovi napadi su evoluirali izvan jednostavnog phishinga putem e-pošte kako bi uključili isporuku napada usmjerenih na telefon (TOAD), također poznatih kao povratno krađa identiteta, gdje žrtve primaju PDF privitke koji sadrže lažne fakture ili sigurnosna upozorenja s ugrađenim telefonskim brojevima.
Analitičari Cisco Talosa identificirali su brojne slučajeve u kojima su napadači koristili VoIP brojeve (Voice over Internet Protocol) za održavanje anonimnosti prilikom provođenja ovih operacija socijalnog inženjeringa.
Geografski opseg ovih kampanja je globalan, s istraživačima koji bilježe koncentriranu aktivnost usmjerenu na korisnike u Sjedinjenim Državama tijekom istraživačkog razdoblja od 5. svibnja do 5. lipnja 2025.
Analiza je otkrila da su Microsoft i DocuSign postali najčešće imitirani brendovi, dok su NortonLifeLock, PayPal i Best Buy’s Geek Squad dominirali u napadima temeljenima na TOAD-u.
Najsofisticiraniji aspekt ovih kampanja uključuje stratešku upotrebu QR kodova ugrađenih u PDF privitke, stvarajući višeslojni mehanizam obmane.
Napadači pozicioniraju QR kodove uz vjerodostojne komunikacije brendova, usmjeravajući žrtve da skeniraju kodove koji preusmjeravaju na phishing stranice zaštićene CAPTCHA-om, dizajnirane za prikupljanje akreditiva.
Istraživači Cisco Talosa otkrili su da akteri prijetnji eksploatiraju PDF anotacije kako bi sakrili zlonamjerne URL-ove, istovremeno održavajući legitimitet dokumenta.
U analiziranim uzorcima, napadači su ugradili više URL-ova unutar PDF anotacija, pri čemu se jedan URL (https://eu1.documents.adobe.com/public/) činio legitimnim, dok je sekundarna anotacija sadržavala stvarno odredište za krađu identiteta (https://schopx.com/r?).
Ova tehnika omogućuje vidljivom QR kodu da poveže pouzdanu stranicu, gradeći povjerenje žrtve prije nego što skrivena anotacija preusmjeri na zlonamjerni kraj.
Zloupotreba se proširuje na Adobeove usluge e-potpisivanja, gdje se cijeli phishing dokumenti učitavaju i distribuiraju putem legitimne Adobe infrastrukture.
Jedan dokumentirani slučaj uključivao je imitaciju PayPala tvrdeći naplatu od 699,00 USD za “Apple iPad Air 11-inčni Wi-Fi 256GB-Blue”, zajedno s ID-om transakcije #08345049MC0STO958308328 i brojem za povratni poziv +1 (820)-206-4931.
Ovo pokazuje kako napadači slažu QR kodove s imitacijom brendova, dok slijed napada ilustrira potpuni TOAD slijed napada od početnog primitka e-pošte do manipulacije žrtve i preuzimanja malicioznih datoteka.
