诈骗者使用 Adobe Cloud 帐户窃取凭据

在一项新的但不是特别新颖的诈骗人员和窃取信息的活动中,威胁参与者一直在开展一项活动,滥用 Adobe Cloud 提供的服务。

该活动使用威胁参与者创建的 Adobe Cloud 帐户。这些帐户用于向潜在受害者发送恶意文件。

与信息安全巨头 Check Point 在 2021 年下半年收购的安全公司 Avanan 合作的安全研究人员早在 12 月就发现了该恶意活动。

使用的恶意 PDF

根据研究团队的说法,该活动背后的威胁行为者主要针对 Office 365 用户,因为受损的 Office 365 帐户可以成为获得对公司范围网络的持久且未被检测到的访问的非常方便的工具。尽管 Office 用户是主要目标,但也发现了一些试图将人们从 Gmail 帐户中骗出的企图。

攻击的方式相对简单。威胁参与者在 Adobe Cloud 上创建免费帐户。然后使用这些帐户发送图像或 PDF 文件,并在文件中嵌入链接。恶意文件通过电子邮件发送给最终受害者。

当然,链接文件中包含的实际恶意负载不是托管在 Adobe 的云上,而是托管在威胁参与者操作的外部服务器上,这使得检测更加困难。

经典网络钓鱼诱饵

用户需要单击几个确认按钮才能点击链接另一端的预期有效负载,但这些按钮是无害的,并且具有诸如“访问文档”之类的名称,并且在受害者试图查看附件时显示恶意PDF。

虽然威胁参与者已经小心翼翼地将他们的电子邮件伪装成 Adobe 分配的合法地址,但带有恶意附件的电子邮件文本中存在多个语法和拼写错误,大大降低了努力的可信度。

PDF 文件本身被称为“Closing.PDF”——另一种廉价的社会工程技巧,旨在让受害者产生恐惧和紧迫感,让他们尽最大努力查看内容。

January 13, 2022