Betrüger verwenden Adobe Cloud-Konten, um Anmeldeinformationen zu stehlen
In einer neuen, aber nicht besonders originellen Kampagne zum Betrug von Personen und zum Diebstahl von Informationen haben Bedrohungsakteure eine Kampagne durchgeführt, die die von Adobe Cloud angebotenen Dienste missbraucht.
Die Kampagne verwendet Adobe Cloud-Konten, die von den Bedrohungsakteuren erstellt wurden. Diese Konten werden verwendet, um potenziellen Opfern schädliche Dateien zu senden.
Sicherheitsforscher, die mit Avanan zusammenarbeiten, einem Sicherheitsunternehmen, das im zweiten Halbjahr 2021 vom Infosec-Riesen Check Point übernommen wurde, entdeckten die bösartige Kampagne bereits im Dezember.
Schädliche PDFs verwendet
Laut dem Forschungsteam richtet sich der Bedrohungsakteur hinter der Kampagne in erster Linie gegen Office 365-Benutzer, da ein kompromittiertes Office 365-Konto ein sehr praktisches Werkzeug sein kann, um sich dauerhaft und unentdeckt Zugriff auf ein unternehmensweites Netzwerk zu verschaffen. Obwohl Office-Benutzer die Hauptziele sind, wurden auch einige Versuche entdeckt, Menschen aus ihren Gmail-Konten zu betrügen.
Der Angriffsweg ist relativ einfach. Die Bedrohungsakteure erstellen kostenlose Konten in der Adobe Cloud. Diese Konten werden dann verwendet, um eine Bild- oder PDF-Datei mit einem in die Datei eingebetteten Link zu versenden. Die schädlichen Dateien werden per E-Mail an die Endopfer verschickt.
Natürlich wird die eigentliche bösartige Nutzlast, die in den verlinkten Dateien enthalten ist, nicht in der Cloud von Adobe gehostet, sondern auf externen Servern, die von den Bedrohungsakteuren betrieben werden, was die Erkennung erschwert.
Klassischer Phishing-Köder
Der Benutzer muss auf ein paar Bestätigungsschaltflächen klicken, um die beabsichtigte Nutzlast am anderen Ende des Links zu erreichen, aber die Schaltflächen sind harmlos und haben den Namen "Auf Dokument zugreifen" und werden angezeigt, während das Opfer versucht, das angehängte Dokument anzuzeigen schädliches PDF.
Während die Angreifer darauf geachtet haben, ihre E-Mails so zu fälschen, dass sie wie von Adobe zugewiesene legitime Adressen aussehen, enthält der Text der E-Mails mit den bösartigen Anhängen mehrere Grammatik- und Rechtschreibfehler, die die Glaubwürdigkeit der Bemühungen erheblich untergraben.
Die PDF-Datei selbst heißt "Closing.PDF" - ein weiterer billiger Social-Engineering-Trick, der beim Opfer ein Gefühl von Angst und Dringlichkeit erzeugen und es dazu bringen soll, sein Bestes zu geben, um den Inhalt zu sehen.