网络犯罪分子利用PDF文件冒充微软等品牌实施钓鱼攻击

网络犯罪分子正大幅增加使用PDF附件作为攻击载体，利用这种受信任的文档格式冒充微软(Microsoft)、DocuSign、Dropbox、PayPal和Adobe等知名品牌，实施复杂的钓鱼攻击活动。

利用PDF信任度实施攻击

这些攻击利用了用户对PDF文档的普遍信任，将本应安全的文件共享方式转变为窃取凭证和金融欺诈的入口。恶意活动通过多种攻击向量展开，攻击者将完整的钓鱼邮件嵌入PDF附件中，以规避传统的电子邮件安全过滤器。

通过将品牌标识、虚假发票和欺骗性内容直接封装到PDF文件中，攻击者绕过了通常会对可疑邮件内容进行标记的文本分析系统。PDF的可移植性使其成为跨平台和设备传递逼真品牌冒充的理想载体。

电话导向攻击(TOAD)与全球分布

这些攻击已从简单的电子邮件钓鱼演变为包含电话导向攻击(TOAD)，也称为回拨钓鱼。受害者会收到包含虚假发票或安全警报的PDF附件，其中嵌入了电话号码。思科Talos分析师发现，攻击者使用互联网语音协议(VoIP)号码进行这些社会工程操作以保持匿名。

这些攻击活动的地理范围遍布全球，研究人员注意到在2025年5月5日至6月5日的研究期间，针对美国用户的活动尤为集中。分析显示，微软和DocuSign是最常被冒充的品牌，而NortonLifeLock、PayPal和百思买(Best Buy)的Geek Squad则在基于TOAD的攻击中占据主导地位。

QR码集成与PDF注释滥用

这些攻击活动中最复杂的方面涉及在PDF附件中嵌入QR码的战略性使用，创建了多层次的欺骗机制。攻击者将QR码与看似合法的品牌通信内容并列放置，诱导受害者扫描这些会重定向到CAPTCHA保护的钓鱼页面的二维码，旨在窃取凭证。

思科Talos研究人员发现，威胁行为者利用PDF注释隐藏恶意URL，同时保持文档的合法性。在分析的样本中，攻击者在PDF注释中嵌入了多个URL，其中一个URL(https://eu1.documents.adobe.com/public/)看起来合法，而另一个注释则包含实际的钓鱼目标(https://schopx.com/r?)。这种技术使可见的QR码链接到可信站点，在隐藏注释重定向到恶意端点前建立受害者信任。

Adobe电子签名服务滥用与攻击案例

这种滥用行为还延伸到Adobe的电子签名服务，攻击者通过合法的Adobe基础设施上传和分发完整的钓鱼文档。一个记录在案的案例涉及冒充PayPal，声称收取699.00美元购买"Apple iPad Air 11英寸Wi-Fi 256GB-蓝色"的费用，包含交易ID #08345049MC0STO958308328和回拨号码+1 (820)-206-4931。

这展示了攻击者如何将QR码与品牌冒充层层叠加，而攻击序列则说明了从最初接收电子邮件到受害者操纵和恶意文件下载的完整TOAD攻击序列。

文章来源：freebuf

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END