Adobe Acrobat Sign foi utilizado para espalhar malware de roubo de informações Redline
17 de Março de 2023

Cibercriminosos estão abusando do Adobe Acrobat Sign, um serviço de assinatura de documentos online, para distribuir malwares que roubam informações de usuários desprevenidos.

O serviço está sendo usado para enviar e-mails maliciosos que parecem originados da empresa de software, com o objetivo de burlar as proteções de segurança e enganar os destinatários a confiar no e-mail recebido.

A estratégia de abusar de serviços legítimos não é nova e casos semelhantes foram vistos recentemente, como o abuso de faturas do PayPal, comentários do Google Docs, entre outros.

Essa nova tendência no crime cibernético foi relatada por pesquisadores da Avast, que alertam sobre sua eficácia em burlar camadas de segurança e enganar as vítimas.

O Adobe Acrobat Sign é um serviço de assinatura eletrônica baseado na nuvem, gratuito para testar, que permite aos usuários enviar, assinar, rastrear e gerenciar assinaturas eletrônicas.

Ameaçadores se registram no serviço e o abusam para enviar mensagens para endereços de e-mail-alvo, que contêm um link para um documento (DOC, PDF ou HTML) hospedado nos servidores da Adobe.

Os documentos contêm um link para um site que solicita aos visitantes que resolvam um CAPTCHA para adicionar legitimidade e, em seguida, os serve com um arquivo ZIP que inclui uma cópia do Redline Information Stealer.

Redline é um malware perigoso capaz de roubar credenciais de contas, carteiras de criptomoedas, cartões de crédito e outras informações armazenadas no dispositivo invadido.

A Avast também detectou ataques altamente direcionados que empregam esse método, como no caso em que o alvo possuía um canal do YouTube popular com muitos assinantes.

Clicar no link da mensagem especialmente elaborada enviada via Adobe Acrobat Sign levou a vítima a um documento alegando infração de direitos autorais de música, um tema comum e crível para proprietários de canais do YouTube.

Desta vez, o documento foi hospedado no dochub, uma plataforma legítima de assinatura de documentos online.

O link no documento leva ao mesmo site protegido por CAPTCHA que hospeda uma cópia do Redline.

Neste caso, no entanto, o ZIP também continha vários executáveis não maliciosos do jogo GTA V, provavelmente uma tentativa de enganar as ferramentas AV misturando o payload com arquivos inofensivos.

A Avast também relata que o payload do Redline foi artificialmente inflada para 400MB em ambos os casos, o que, mais uma vez, ajuda a proteger contra varreduras antivírus.

Este mesmo método foi usado em recentes campanhas de phishing de malware Emotet.

Os atores de phishing estão constantemente procurando serviços legítimos que possam ser usados para promover seus e-mails maliciosos, uma vez que esses serviços ajudam a aumentar a taxa de entrega de suas mensagens e o sucesso de suas campanhas de phishing.

A Avast compartilhou todos os detalhes de suas descobertas com a Adobe e o dochub.com e, esperançosamente, os dois serviços encontrarão uma maneira de impedir o abuso por parte dos operadores de malwares.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...