网络钓鱼PDF文件的大规模研究
摘要:欺骗PDF是一种恶意PDF文档,它们不会嵌入恶意软件,而是通过诱使受害者访问恶意网页来窃取密码或进行驱动下载。尽管最近的报告显示欺骗PDF数量激增,但以往的研究在很大程度上忽略了这种新威胁,将欺骗PDF定位为通过电子邮件钓鱼活动分发的附属品。 本文对这一观点提出质疑,并提出第一个以欺骗PDF为中心的系统性和全面性研究。从真实世界的数据集开始,我们首先通过聚类识别出了44个欺骗PDF活动,并通过对其数量、时间和视觉特征进行表征。其中,我们确定了三个大规模活动,覆盖了数据集的89%,与经典的电子邮件钓鱼活动相比,其数量和时间特性明显不同,并且依赖于Web UI元素作为视觉诱饵。最后,我们研究了分发向量,并表明欺骗PDF不仅通过附件分发,还通过SEO攻击进行分发,从而将欺骗PDF放置在电子邮件分发生态系统之外。 本文还评估了VirusTotal评分系统的实用性,显示欺骗PDF的排名相当低,为组织机构制造了盲点。虽然URL阻止列表可以帮助阻止受害者访问攻击网页,但PDF文档似乎没有经过任何形式的基于内容的过滤或检测。
作者:Giada Stivala, Sahar Abdelnabi, Andrea Mengascini, Mariano Graziano, Mario Fritz, Giancarlo Pellegrino
论文ID:2308.01273
分类:Cryptography and Security
分类简称:cs.CR
提交时间:2023-08-03