Οι απατεώνες χρησιμοποιούν λογαριασμούς Adobe Cloud για να κλέψουν διαπιστευτήρια

Σε μια νέα, αλλά όχι ιδιαίτερα πρωτότυπη καμπάνια για την εξαπάτηση ανθρώπων και την κλοπή πληροφοριών, οι φορείς απειλών διεξήγαγαν μια καμπάνια κατάχρησης των υπηρεσιών που προσφέρει το Adobe Cloud.

Η καμπάνια χρησιμοποιεί λογαριασμούς Adobe Cloud που δημιουργήθηκαν από τους παράγοντες απειλών. Αυτοί οι λογαριασμοί χρησιμοποιούνται για την αποστολή κακόβουλων αρχείων πιθανών θυμάτων.

Ερευνητές ασφαλείας που συνεργάζονται με την Avanan, μια εταιρεία ασφαλείας που εξαγοράστηκε από τον γίγαντα της infosec Check Point το δεύτερο εξάμηνο του 2021, ανακάλυψαν την κακόβουλη καμπάνια τον Δεκέμβριο.

Χρησιμοποιούνται κακόβουλα αρχεία PDF

Σύμφωνα με την ερευνητική ομάδα, ο παράγοντας απειλής πίσω από την καμπάνια στοχεύει κυρίως χρήστες του Office 365, λόγω του γεγονότος ότι ένας παραβιασμένος λογαριασμός Office 365 μπορεί να είναι ένα πολύ βολικό εργαλείο για την απόκτηση μόνιμης και μη ανιχνεύσιμης πρόσβασης σε ένα δίκτυο σε ολόκληρη την εταιρεία. Παρόλο που οι χρήστες του Office είναι οι κύριοι στόχοι, εντοπίστηκαν επίσης ορισμένες απόπειρες εξαπάτησης ατόμων από τους λογαριασμούς τους στο Gmail.

Ο τρόπος που πάει η επίθεση είναι σχετικά απλός. Οι φορείς απειλών δημιουργούν δωρεάν λογαριασμούς στο Adobe Cloud. Αυτοί οι λογαριασμοί χρησιμοποιούνται στη συνέχεια για την αποστολή μιας εικόνας ή ενός αρχείου PDF, με έναν σύνδεσμο ενσωματωμένο μέσα στο αρχείο. Τα κακόβουλα αρχεία αποστέλλονται μέσω email στα τελικά θύματα.

Φυσικά, το πραγματικό κακόβουλο ωφέλιμο φορτίο που περιέχεται στα συνδεδεμένα αρχεία δεν φιλοξενείται στο cloud της Adobe αλλά σε εξωτερικούς διακομιστές που λειτουργούν από τους παράγοντες απειλών, καθιστώντας τον εντοπισμό πιο δύσκολο.

Κλασικό δόλωμα phishing

Ο χρήστης πρέπει να κάνει κλικ σε μερικά κουμπιά επιβεβαίωσης για να χτυπήσει το προβλεπόμενο ωφέλιμο φορτίο στο άλλο άκρο του συνδέσμου, αλλά τα κουμπιά είναι αβλαβή και έχουν ονομαστεί όπως "Πρόσβαση σε έγγραφο" και εμφανίζονται ενώ το θύμα προσπαθεί να δει το συνημμένο κακόβουλο PDF.

Ενώ οι φορείς απειλών φρόντισαν να πλαστογραφήσουν τα email τους ώστε να μοιάζουν με νόμιμες διευθύνσεις που έχουν εκχωρηθεί από την Adobe, το κείμενο των email που φέρει τα κακόβουλα συνημμένα έχει πολλαπλά γραμματικά και ορθογραφικά λάθη, υπονομεύοντας σημαντικά την αξιοπιστία της προσπάθειας.

Το ίδιο το αρχείο PDF ονομάζεται "Closing.PDF" - ένα άλλο φτηνό κόλπο κοινωνικής μηχανικής που έχει σκοπό να δημιουργήσει μια αίσθηση φόβου και επείγουσας ανάγκης στο θύμα και να το κάνει να κάνει ό,τι καλύτερο μπορεί για να δει το περιεχόμενο.