Les escrocs utilisent des comptes Adobe Cloud pour voler des informations d'identification
Dans une campagne nouvelle mais pas particulièrement originale pour escroquer les gens et voler des informations, les acteurs de la menace ont mené une campagne abusant des services offerts par Adobe Cloud.
La campagne utilise des comptes Adobe Cloud créés par les acteurs de la menace. Ces comptes sont utilisés pour envoyer des fichiers malveillants aux victimes potentielles.
Des chercheurs en sécurité travaillant avec Avanan, une société de sécurité acquise par le géant de l'infosec Check Point au second semestre 2021, ont découvert la campagne malveillante en décembre.
PDF malveillants utilisés
Selon l'équipe de recherche, l'acteur de la menace derrière la campagne cible principalement les utilisateurs d'Office 365, car un compte Office 365 compromis peut être un outil très pratique pour obtenir un accès persistant et non détecté à un réseau à l'échelle de l'entreprise. Même si les utilisateurs d'Office sont les principales cibles, certaines tentatives pour escroquer les gens de leurs comptes Gmail ont également été repérées.
La façon dont l'attaque se déroule est relativement simple. Les acteurs malveillants créent des comptes gratuits sur Adobe Cloud. Ces comptes sont ensuite utilisés pour envoyer une image ou un fichier PDF, avec un lien intégré à l'intérieur du fichier. Les fichiers malveillants sont envoyés par courrier électronique aux victimes finales.
Bien entendu, la charge utile malveillante réelle contenue dans les fichiers liés n'est pas hébergée sur le cloud d'Adobe mais sur des serveurs externes exploités par les acteurs de la menace, ce qui rend la détection plus difficile.
Appât d'hameçonnage classique
L'utilisateur doit cliquer sur quelques boutons de confirmation afin d'atteindre la charge utile prévue à l'autre extrémité du lien, mais les boutons sont inoffensifs et portent des noms tels que « Accès au document » et sont affichés pendant que la victime essaie de voir la pièce jointe. PDF malveillant.
Alors que les acteurs de la menace ont pris soin d'usurper leurs e-mails pour qu'ils ressemblent à des adresses légitimes attribuées par Adobe, le texte des e-mails contenant les pièces jointes malveillantes contient de multiples erreurs de grammaire et d'orthographe, ce qui compromet considérablement la crédibilité de l'effort.
Le fichier PDF lui-même s'appelle "Closing.PDF" - une autre astuce d'ingénierie sociale bon marché destinée à créer un sentiment de peur et d'urgence chez la victime et à l'amener à faire de son mieux pour voir le contenu.