Um novo golpe de phishing está mirando usuários de dispositivos móveis com táticas avançadas de engenharia social e arquivos PDF maliciosos projetados para roubar dados sensíveis. A campanha, que se passa pelo Serviço Postal dos Estados Unidos (USPS), utiliza uma técnica de ofuscação inédita para entregar sua carga maliciosa, dificultando a detecção por ferramentas de segurança convencionais. Pesquisadores da Zimperium identificaram que os ataques começam com mensagens SMS contendo um arquivo PDF malicioso.

Esse arquivo inclui um link suspeito que redireciona a vítima para um site falso, onde informações pessoais são coletadas. O PDF apresenta uma estrutura sofisticada, composta por cabeçalho, corpo, tabela de referências cruzadas e trailer. Diferente das abordagens tradicionais, ele oculta links clicáveis sem usar a tag padrão /URI, tornando a análise e a detecção mais desafiadoras. Uma das características mais inovadoras dessa campanha é o uso de um XObject para disfarçar um link como um botão clicável.

Essa técnica funciona particularmente bem em visualizadores de PDF populares, como o Google Chrome e o Preview do macOS, mas pode falhar em outras plataformas. Ao clicar no botão “Click Update”, os usuários são levados a uma página de phishing que simula uma notificação de problema na entrega de correspondência do USPS. A página solicita informações pessoais, que são criptografadas e enviadas para um servidor de comando e controle (C2) operado pelos criminosos. Foram identificados mais de 20 arquivos PDF maliciosos e 630 páginas de phishing, evidenciando uma operação de grande porte que pode afetar vítimas em mais de 50 países.