Adobe Acrobat Sign wird zur Verbreitung von Malware verwendet
Cyberkriminelle haben einen neuen Weg gefunden, Malware zum Stehlen von Informationen an ahnungslose Benutzer zu verteilen, indem sie Adobe Acrobat Sign missbrauchen, einen beliebten Online-Dienst zum Signieren von Dokumenten. Avast-Forscher entdeckten, dass sich Bedrohungsakteure bei dem Dienst registrieren und ihn nutzen, um bösartige E-Mails an vordefinierte E-Mail-Adressen zu senden.
Die E-Mails sind so gestaltet, dass sie den Anschein erwecken, von dem Softwareunternehmen zu stammen, so dass sie die Sicherheitsmaßnahmen umgehen und den Empfängern Vertrauen vorgaukeln können. Die Links in den E-Mails leiten die Opfer auf ein Dokument um, das auf den Servern von Adobe gehostet wird. Von dort aus werden sie auf eine Website weitergeleitet, auf der sie ein CAPTCHA lösen müssen, um ihre Legitimität zu bestätigen. Die Besucher erhalten dann ein ZIP-Archiv mit der Redline Information Stealer-Malware, die in der Lage ist, Kontoanmeldeinformationen, Kryptowährungs-Geldbörsen, Kreditkarten und andere Daten von dem kompromittierten Gerät zu stehlen.
Avast-Forscher entdeckten auch sehr gezielte Angriffe, die diese Methode anwenden. In einem solchen Fall wurde ein beliebter YouTube-Kanalbesitzer mit einer großen Anzahl von Abonnenten angegriffen. Das Opfer wurde zu einem Dokument weitergeleitet, in dem eine Verletzung des Urheberrechts für Musik behauptet wurde, nachdem es auf den Link in der speziell erstellten Nachricht geklickt hatte, die über Adobe Acrobat Sign gesendet wurde - ein gängiges und glaubwürdiges Thema für YouTube-Kanalbesitzer.
Das Dokument wurde dieses Mal auf dochub.com gehostet, einer weiteren seriösen Online-Plattform zur Unterzeichnung von Dokumenten. Der Link im Dokument führt zu derselben CAPTCHA-geschützten Website, von der Sie eine Kopie von Redline herunterladen können. In diesem Fall enthielt die ZIP-Datei auch mehrere nicht bösartige ausführbare Dateien aus dem Spiel GTA V, was darauf hindeutet, dass die Nutzlast mit nicht bösartigen Dateien vermischt wurde, um AV-Tools zu täuschen.
Laut Avast wurde die Nutzlast von Redline in beiden Fällen künstlich auf 400 MB aufgeblasen, was das Scannen durch Antivirenprogramme erleichtert. Diese Methode wurde auch bei den jüngsten Phishing-Kampagnen für die Emotet-Malware verwendet. Cyberkriminelle sind ständig auf der Suche nach legitimen Diensten, die sie zur Verbreitung ihrer bösartigen E-Mails nutzen können, da diese Dienste dazu beitragen, die Zustellungsrate im Posteingang und die Erfolgsquote beim Phishing zu erhöhen.
Avast hat alle Ergebnisse an Adobe und dochub.com weitergegeben.
Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.