(Ab) usando o Adobe Acrobat Sign para distribuir malware

Maus atores têm distribuído malware por e-mail por décadas. Com o tempo, a tecnologia de segurança evoluiu e melhorou muito, tornando essa tarefa mais difícil para os cibercriminosos. 20 anos atrás, testemunhamos a distribuição frequente de e-mail vermes, o que fez com que as caixas de entrada fossem inundadas com eles e os servidores de correio entrassem em colapso. Embora a prevalência de worms de e-mail seja muito menor atualmente, e-mail de phishing é a nova ameaça predominante que os usuários enfrentam atualmente, apesar de o e-mail ser uma ótima ferramenta usada pela maioria dos usuários da Internet.

Não apenas os diferentes mecanismos de proteção evoluíram – os indivíduos também se tornaram mais experientes em tecnologia e tornou-se cada vez mais difícil enganá-los. Mas não me interpretem mal: os malfeitores modernos são profissionais que ganham a vida com o crime cibernético e investem muito em fazer seus truques (às vezes, eles os entregam em mensagens que passam por profissionais de segurança experientes). De qualquer forma, não podemos subestimar a capacidade desses cibercriminosos de realizar atividades maliciosas.

E se um invasor conseguisse fazer com que uma empresa conhecida distribuísse um e-mail em seu nome? E se o único link desse e-mail levar o leitor a um site pertencente à mesma empresa? Nesta mensagem, não há remetentes suspeitos, URLs suspeitos ou a inclusão de outros sites – tudo é legítimo. As chances são de que esse tipo de e-mail não apenas ignore todas as camadas de segurança cibernética, mas também engane o usuário final.

Como os cibercriminosos de hoje estão usando essa técnica inovadora

A Adobe oferece um serviço de nuvem para assinar documentos online chamado Acrobat Sign, no qual os usuários podem se registrar e começar a usá-lo imediatamente. O Adobe Acrobat Sign permite que usuários registrados enviem uma solicitação de assinatura de documento para qualquer pessoa. Ao fazer isso, um e-mail será gerado e enviado aos destinatários pretendidos. O e-mail inclui um link para o documento (que pode ser PDF, documento do Word, arquivo HTML e assim por diante) que será hospedado na própria Adobe.

O remetente pode adicionar o texto que gostaria que fosse mostrado no e-mail, o que é um detalhe importante, pois pode ser facilmente explorado por cibercriminosos.

Esta é uma das mensagens que nossa equipe captou:

O endereço do remetente é exibido como adobesign@adobesign.comque é um endereço de e-mail legítimo.

Quando a vítima clica no botão “Revisar e assinar”, ela é direcionada para uma página hospedada em “eu1.documents.adobe.com/public/”, que é outra fonte legítima que pertence à Adobe. Como mencionei anteriormente, as pessoas que usam este serviço podem fazer upload de uma ampla variedade de tipos de arquivos para o Adobe Acrobat Sign, que serão exibidos no e-mail com a opção de assiná-los.

Os cibercriminosos incluem um texto com um link em um documento que dá à vítima a ideia de que já leu o conteúdo antes de assiná-lo. Ao clicar no link, a vítima é redirecionada para outro site onde é solicitado a inserir um CAPTCHA codificado.

Uma vez inserido, a vítima será solicitada a baixar um arquivo ZIP que contém um Redline Trojan variante projetada para roubar senhas, carteiras criptográficas e muito mais.

No exemplo acima, o alvo do ataque possui um canal no YouTube com centenas de milhares de inscritos, então o tema da mensagem se encaixa muito bem com aquele perfil. Felizmente, a vítima percebeu que havia algo de “phishing” na mensagem e não clicou no link.

Não disposto a enfrentar a derrota, porém, o atacante tentou realizar o ataque novamente alguns dias depois. Para aumentar as chances de ter o malware instalado, eles também adicionaram outro link no e-mail enviado pela Adobe.

Ao clicar nesse link, a seguinte página será carregada no navegador:

Esta página está hospedada em dochub.com, que é outra empresa que oferece assinatura eletrônica de documentos. No entanto, caso a vítima clique no botão “Revisar e assinar” dentro do e-mail, ele a levará para a Adobe e mostrará o mesmo documento a ser assinado (que também contém o mesmo link).

O link nos documentos carregados em dochub.com e adobe.com leva a vítima ao mesmo CAPTCHA (que é codificado):

Quando inserido corretamente, leva a vítima ao download do malware, que era outra variante do Redline Trojan. Neste caso, o arquivo ZIP também continha alguns outros executáveis ​​não maliciosos pertencentes ao jogo Grand Theft Auto V.

Uma das características das duas variantes do Redline que esses cibercriminosos usaram nesses ataques é que eles aumentaram artificialmente o tamanho do Trojan para mais de 400 MB. Isso não é percebido pela vítima durante o download, pois o arquivo está compactado e a maior parte desse tamanho artificial acaba de ser preenchido com zeros. A razão para isto é desconhecida; é possível que os cibercriminosos o estejam usando na esperança de contornar alguns mecanismos antivírus que podem se comportar de maneira diferente com arquivos grandes.

Esse abuso do Adobe Acrobat Sign para distribuir malware é uma nova técnica usada por invasores direcionada a uma vítima específica. Nossa equipe ainda não detectou outros ataques usando essa técnica; no entanto, tememos que possa se tornar uma escolha popular para cibercriminosos em um futuro próximo. Isso ocorre porque ele pode evitar diferentes filtros antimalware, o que aumenta suas chances de atingir as vítimas. De qualquer forma, já entramos em contato com Adobe e dochub.com e compartilhamos todas as informações dos incidentes com eles.

Como você pode se proteger

• Não clique em links de e-mail de remetentes desconhecidos. Preste muita atenção a tudo o que você recebe daqueles que você não conhece.

• Verifique suas fontes. Antes de clicar em um link, pergunte-se por que você o recebeu e se pode ser considerado legítimo.

• Use um software de segurança. Software de segurança ou antivírus atua como uma rede de segurança, protegendo até mesmo os usuários da Internet mais experientes em tecnologia.