0
0
Cibercriminosos estão explorando o Adobe Acrobat Sign, o serviço de assinatura de documentos online da fabricante de software de design digital, para distribuir malware para roubo de informações a usuários desavisados. O serviço está sendo usado para enviar e-mails maliciosos originários da Adobe para contornar as proteções de segurança e induzir os destinatários a confiar no e-mail recebido.
A estratégia de usar serviços legítimos não é nova. Casos semelhantes vistos recentemente incluem o uso de faturas do PayPal, comentários do Google Docs e muito mais. Essa nova tendência no cibercrime foi relatada por pesquisadores da Avast, que alertam sobre sua eficácia em contornar as camadas de segurança e enganar os alvos.
O Adobe Acrobat Sign é um serviço gratuito de assinatura eletrônica baseado em nuvem que permite aos usuários enviar, assinar, rastrear e gerenciar assinaturas eletrônicas. Operadores de ameaças registram-se no serviço e o utilizam para enviar mensagens a endereços de e-mail, vinculadas a um documento (doc, PDF ou HTML) hospedado nos servidores da Adobe.
Os documentos contêm um link para um site que solicita aos visitantes que resolvam um CAPTCHA para adicionar legitimidade e, em seguida, forneçam a eles um arquivo ZIP que inclui uma cópia do ladrão de informações Redline. Trata-se de um malware perigoso capaz de roubar credenciais de contas, carteiras de criptomoedas, cartões de crédito e outras informações armazenadas no dispositivo violado.
A Avast também detectou ataques altamente direcionados que empregam esse método, como em um caso em que o alvo possuía um canal popular do YouTube com muitos assinantes. Clicar no link da mensagem especificamente criada enviada pelo Adobe Acrobat Sign leva a vítima a um documento alegando violação de direitos autorais de música, um tema comum e crível para proprietários de canais do YouTube.
Desta vez, o documento foi hospedado no dochub.com, uma plataforma legítima de assinatura de documentos online. O link no documento leva ao mesmo site protegido por CAPTCHA que baixa uma cópia do Redline. Nesse caso, no entanto, o ZIP também continha vários executáveis não maliciosos do jogo GTA V, provavelmente uma tentativa de enganar as ferramentas AV misturando a carga útil com arquivos inofensivos.
A Avast também relata que a carga útil do Redline foi inflada artificialmente para 400 MB em ambos os casos, o que, novamente, ajuda a proteger contra varreduras antivírus. Este mesmo método foi usado em recentes campanhas de phishing de malware Emotet.
Os agentes de phishing estão constantemente procurando por serviços legítimos que possam ser usados de forma abusiva para promover seus e-mails maliciosos, pois esses serviços ajudam a aumentar a entrega na caixa de entrada e as taxas de sucesso de phishing.A Avast compartilhou todos os detalhes de suas descobertas com Adobe e dochub.com e, esperançosamente, os dois serviços encontrarão uma maneira de impedir o abuso de operadores de malware.
FONTE: CISO ADVISOR