詐欺師はAdobeCloudアカウントを使用して資格情報を盗みます
人々を騙して情報を盗むための新しい、しかし特に独創的ではないキャンペーンでは、脅威アクターはAdobeCloudが提供するサービスを悪用するキャンペーンを実行しています。
キャンペーンでは、脅威アクターによって作成されたAdobeCloudアカウントを使用します。これらのアカウントは、潜在的な被害者に悪意のあるファイルを送信するために使用されます。
2021年の後半にinfosecの巨人であるCheckPointに買収されたセキュリティ会社であるAvananと協力しているセキュリティ研究者は、12月に悪意のあるキャンペーンを発見しました。
使用された悪意のあるPDF
調査チームによると、キャンペーンの背後にある脅威アクターは主にOffice 365ユーザーを標的としています。これは、侵害されたOffice 365アカウントが、全社的なネットワークへの永続的で検出されないアクセスを取得するための非常に便利なツールである可能性があるためです。 Officeユーザーが主な標的ですが、Gmailアカウントから人々を騙そうとする試みもいくつか発見されました。
攻撃の進め方は比較的簡単です。攻撃者はAdobeCloudで無料のアカウントを作成します。これらのアカウントは、ファイル内にリンクが埋め込まれた画像またはPDFファイルを送信するために使用されます。悪意のあるファイルは、電子メールで最終被害者に送信されます。
もちろん、リンクされたファイルに含まれる実際の悪意のあるペイロードは、アドビのクラウドではなく、脅威アクターによって操作される外部サーバーでホストされるため、検出がより困難になります。
クラシックフィッシングベイト
ユーザーは、リンクのもう一方の端にある目的のペイロードをヒットするために、いくつかの確認ボタンをクリックする必要がありますが、ボタンは無害であり、「アクセスドキュメント」などの名前が付けられており、被害者が添付ファイルを表示しようとしているときに表示されます悪意のあるPDF。
攻撃者は、アドビによって割り当てられた正当なアドレスのように電子メールをスプーフィングするように注意を払っていますが、悪意のある添付ファイルを含む電子メールのテキストには、複数の文法とスペルの誤りがあり、努力の信憑性を著しく損ないます。
PDFファイル自体は「Closing.PDF」と呼ばれます。これは、被害者に恐怖と切迫感を与え、内容を確認するために最善を尽くすことを目的とした、もう1つの安価なソーシャルエンジニアリングのトリックです。