Adobe Acrobat Sign utilizado para distribuir malware
Los ciberdelincuentes han encontrado una nueva forma de distribuir malware de robo de información a usuarios desprevenidos abusando de Adobe Acrobat Sign, un popular servicio de firma de documentos en línea. Los investigadores de Avast descubrieron que los actores de amenazas se registran en el servicio y lo utilizan para enviar correos electrónicos maliciosos a direcciones de correo electrónico predefinidas.
Los correos electrónicos están diseñados para que parezcan proceder de la empresa de software, lo que les permite burlar las medidas de seguridad y engañar a los destinatarios para que confíen en ellos. Los enlaces de los correos redirigen a las víctimas a un documento alojado en los servidores de Adobe, que a su vez les redirige a un sitio web que les pide que resuelvan un CAPTCHA para añadir legitimidad. A continuación, los visitantes reciben un archivo ZIP que contiene el malware de robo de información Redline, capaz de robar credenciales de cuentas, carteras de criptomonedas, tarjetas de crédito y otros datos del dispositivo afectado.
Los investigadores de Avast también han descubierto ataques muy selectivos que emplean este método. En uno de estos casos, el objetivo era el propietario de un popular canal de YouTube con un gran número de suscriptores. La víctima fue conducida a un documento en el que se reclamaba la infracción de derechos de autor de música tras hacer clic en el enlace del mensaje especialmente diseñado enviado a través de Adobe Acrobat Sign, un tema común y creíble para los propietarios de canales de YouTube.
El documento estaba alojado esta vez en dochub.com, otra plataforma legítima de firma de documentos en línea. El enlace del documento lleva al mismo sitio web protegido por CAPTCHA desde el que se puede descargar una copia de Redline. En este caso, el archivo ZIP también contenía varios ejecutables no maliciosos del juego GTA V, lo que indica que la carga útil estaba mezclada con archivos no maliciosos en un intento de engañar a las herramientas antivirus.
Según Avast, la carga útil de Redline se infló artificialmente hasta 400 MB en ambos casos, lo que ayuda en el escaneado antivirus. Este método también se ha utilizado en recientes campañas de phishing del malware Emotet. Los ciberdelincuentes están constantemente a la búsqueda de servicios legítimos que puedan ser explotados para promocionar sus correos maliciosos, ya que estos servicios ayudan a aumentar la entrega en la bandeja de entrada y las tasas de éxito de phishing.
Avast ha revelado todos sus hallazgos a Adobe y dochub.com.
Las fuentes de este artículo incluyen un artículo en BleepingComputer.