Hakeri koriste „čiste“ imejlove i PDF dokumente za krađu Dropbox naloga

Vesti, 04.02.2026, 12:00 PM

Rutinski poslovni imejl o „tenderu“ ili „nabavci“ može delovati dovoljno bezazleno da kliknete bez razmišljanja. Upravo na takvu reakciju računaju sajber-kriminalci koji stoje iza nove phishing kampanje koju su otkrili istraživači kompanije Forcepoint.

Napad počinje imejlom koji je potpuno „čist“. Nema malicioznih linkova niti priloga koji bi odmah izazvali sumnju. Umesto toga, ključnu ulogu ima PDF dokument.

Napadači koriste funkcionalnosti PDF formata, poput AcroForms i FlateDecode, kako bi sakrili elemente na koje se može kliknuti unutar dokumenta koji izgleda kao običan kancelarijski fajl. Kako korisnici uglavnom imaju više poverenja u PDF priloge nego u linkove u imejlovima, ova metoda povećava verovatnoću interakcije.

Klik na skriveni link vodi do drugog dokumenta, koji je hostovan na Vercel Blob, legitimnoj cloud infrastrukturi. Korišćenjem pouzdane platforme, napadači dodatno otežavaju detekciju, jer bezbednosni sistemi ređe blokiraju poznate cloud provajdere.

Ovaj dokument potom preusmerava žrtvu na lažnu stranicu za prijavu koja imitira Dropbox interfejs. Vizuelno gotovo identična originalu, stranica u pozadini pokreće skriptu koja prikuplja imejl adresu, lozinku, IP adresu, geolokaciju (grad i država) i tip uređaja.

Podaci se zatim automatski šalju na privatni Telegram kanal putem „hardkodovanog“ bota kojim upravljaju napadači.

Da bi prikrili krađu, lažna stranica uvek prikazuje poruku o grešci prilikom prijave, ostavljajući utisak da je korisnik samo pogrešno uneo lozinku, dok su podaci već kompromitovani.

Ovaj slučaj pokazuje da ako poslovni dokument iznenada zahteva prijavu na nalog, naročito kroz PDF prilog, neophodno je da dodatno proverite pošiljaoca.