Adobe

サイバー犯罪者は、オンライン ドキュメント署名サービスである Adobe Acrobat Sign を悪用して、疑いを持たないユーザーに情報を盗むマルウェアを配布しています。

このサービスは、ソフトウェア会社から発信された悪意のある電子メールを送信するために悪用され、セキュリティ保護をバイパスし、受信者を騙して受信した電子メールを信頼させています。

正当なサービスを悪用する戦略は新しいものではありません。最近見られた同様のケースには、 PayPal の請求書Google ドキュメントのコメントなどの悪用が含まれます。

サイバー犯罪におけるこの新しい傾向は、アバストの研究者によって報告されており、セキュリティ層を迂回して標的をだますことの有効性について警告しています。

正当なサービスの悪用

Adobe Acrobat Sign は、無料で試用できるクラウドベースの電子署名サービスで、ユーザーは電子署名の送信、署名、追跡、および管理を行うことができます。

攻撃者はこのサービスに登録し、それを悪用してターゲットの電子メール アドレスにメッセージを送信します。この電子メール アドレスは、Adobe のサーバー (「eu1.documents.adobe.com/public/」) でホストされているドキュメント (DOC、PDF、または HTML) にリンクしています。

この文書には、訪問者に CAPTCHA を解決して正当性を追加し、Redline 情報スティーラーのコピーを含む ZIP アーカイブを提供するよう要求する Web サイトへのリンクが含まれています。

Redline は、侵害されたデバイスに保存されているアカウント資格情報、暗号通貨ウォレット、クレジット カード、およびその他の情報を盗むことができる危険なマルウェアです。

アバストは、この方法を使用した高度に標的を絞った攻撃も発見しました。たとえば、ターゲットが多くのチャンネル登録者を持つ人気のある YouTube チャンネルを所有していたケースです。

Adobe Acrobat Sign を介して送信された特別に作成されたメッセージのリンクをクリックすると、被害者は音楽の著作権侵害を主張する文書に誘導されました。これは、YouTube チャンネルの所有者にとって一般的で信頼できるテーマです。

偽の著作権侵害メッセージ
偽の著作権侵害メッセージ(Avast)

今回、ドキュメントは、正規のオンライン ドキュメント署名プラットフォームである dochub.com でホストされていました。

悪意のあるリンクを含むドキュメント
悪意のあるリンクを含むドキュメント(アバスト)

ドキュメント内のリンクは、Redline のコピーをドロップする同じ CAPTCHA で保護された Web サイトにつながります。

ただし、この場合、ZIP には GTA V ゲームの悪意のない実行可能ファイルもいくつか含まれており、ペイロードを無害なファイルと混合することで AV ツールをだます試みである可能性があります。

アバストはまた、両方のケースで Redline ペイロードが人為的に 400MB に膨らんだことも報告しており、これもアンチウイルス スキャンからの保護に役立ちます.これと同じ方法が、最近のEmotet マルウェア フィッシング キャンペーンで使用されました。

フィッシング攻撃者は、悪意のある電子メールを宣伝するために悪用できる正当なサービスを常に探しています。これらのサービスは、受信トレイの配信とフィッシングの成功率を高めるのに役立つためです。

アバストは調査結果のすべての詳細を Adobe および dochub.com と共有しており、2 つのサービスがマルウェア オペレーターによる悪用を阻止する方法を見つけることを願っています。