Oszuści wykorzystują konta Adobe Cloud do kradzieży poświadczeń

W nowej, ale niezbyt oryginalnej kampanii mającej na celu oszukiwanie ludzi i kradzież informacji, cyberprzestępcy prowadzili kampanię nadużywającą usług oferowanych przez Adobe Cloud.

Kampania wykorzystuje konta Adobe Cloud utworzone przez cyberprzestępców. Konta te są używane do wysyłania potencjalnym ofiarom szkodliwych plików.

Badacze bezpieczeństwa współpracujący z Avanan, firmą zajmującą się bezpieczeństwem, przejętą przez giganta infosec, Check Point w drugiej połowie 2021 roku, odkryli złośliwą kampanię w grudniu.

Używane złośliwe pliki PDF

Według zespołu badawczego, zagrożenie stojące za kampanią jest skierowane przede wszystkim do użytkowników Office 365, ponieważ zhakowane konto Office 365 może być bardzo wygodnym narzędziem do uzyskania trwałego i niewykrywalnego dostępu do sieci firmowej. Mimo że użytkownicy pakietu Office są głównymi celami, zauważono również pewne próby wyłudzenia ludzi z ich kont Gmail.

Sposób ataku jest stosunkowo prosty. Osoby tworzące zagrożenia tworzą bezpłatne konta w Adobe Cloud. Konta te są następnie wykorzystywane do wysyłania obrazu lub pliku PDF z łączem osadzonym w pliku. Złośliwe pliki są wysyłane pocztą elektroniczną do ostatecznych ofiar.

Oczywiście, rzeczywista szkodliwa zawartość zawarta w połączonych plikach nie jest hostowana w chmurze Adobe, ale na zewnętrznych serwerach obsługiwanych przez cyberprzestępców, co utrudnia wykrycie.

Klasyczna przynęta na phishing

Użytkownik musi kliknąć kilka przycisków potwierdzających, aby trafić zamierzony ładunek na drugim końcu łącza, ale przyciski są nieszkodliwe i mają nazwy takie jak „Dokument dostępu” i są wyświetlane, gdy ofiara próbuje wyświetlić załączony złośliwy plik PDF.

Podczas gdy cyberprzestępcy starali się sfałszować swoje wiadomości e-mail, aby wyglądały na legalne adresy przypisane przez Adobe, tekst wiadomości e-mail zawierających złośliwe załączniki zawiera wiele błędów gramatycznych i ortograficznych, co znacznie podważa wiarygodność tego wysiłku.

Sam plik PDF nosi nazwę „Closing.PDF” — kolejna tania sztuczka socjotechniczna mająca na celu wywołanie u ofiary poczucia strachu i pośpiechu oraz zmuszenie jej do zrobienia wszystkiego, co w ich mocy, aby zobaczyć zawartość.