Support technique
Documentation
Connexion
Nous contacter
Adobe Acrobat Sign utilisé pour diffuser des logiciels malveillants
Le 28 mars 2023 - L'équipe de relations publiques de TuxCare
Les cybercriminels ont trouvé un nouveau moyen de distribuer des logiciels malveillants voleurs d'informations à des utilisateurs peu méfiants en abusant d'Adobe Acrobat Sign, un service populaire de signature de documents en ligne. Les chercheurs d'Avast ont découvert que les acteurs de la menace s'inscrivent au service et l'utilisent pour envoyer des courriels malveillants à des adresses électroniques prédéfinies.
Les courriels sont conçus pour sembler provenir de l'éditeur de logiciels, ce qui leur permet de contourner les mesures de sécurité et de tromper les destinataires pour qu'ils leur fassent confiance. Les liens contenus dans les courriels redirigent les victimes vers un document hébergé sur les serveurs d'Adobe, qui les redirige ensuite vers un site web qui leur demande de résoudre un CAPTCHA pour ajouter de la légitimité. Les visiteurs reçoivent ensuite une archive ZIP contenant le malware voleur d'informations Redline, qui est capable de voler les identifiants de compte, les portefeuilles de crypto-monnaies, les cartes de crédit et d'autres données de l'appareil compromis.
Les chercheurs d'Avast ont également découvert des attaques très ciblées utilisant cette méthode. Dans l'un de ces cas, c'est le propriétaire d'une chaîne YouTube populaire comptant un grand nombre d'abonnés qui a été visé. Après avoir cliqué sur le lien contenu dans le message spécialement conçu et envoyé via Adobe Acrobat Sign, un thème courant et crédible pour les propriétaires de chaînes YouTube, la victime a été dirigée vers un document faisant état d'une violation des droits d'auteur musicaux.
Le document était hébergé cette fois sur dochub.com, une autre plateforme légitime de signature de documents en ligne. Le lien contenu dans le document renvoie au même site Web protégé par un CAPTCHA, où il est possible de télécharger une copie de Redline. Dans ce cas, le fichier ZIP contenait également plusieurs exécutables non malveillants du jeu GTA V, ce qui indique que la charge utile a été mélangée à des fichiers non malveillants pour tenter de tromper les outils AV.
Selon Avast, la charge utile de Redline a été artificiellement gonflée à 400 Mo dans les deux cas, ce qui facilite l'analyse antivirus. Cette méthode a également été utilisée dans les récentes campagnes de phishing du logiciel malveillant Emotet. Les cybercriminels sont constamment à la recherche de services légitimes qui peuvent être exploités pour promouvoir leurs courriels malveillants, car ces services permettent d'augmenter le taux de distribution dans les boîtes de réception et le taux de réussite du phishing.
Avast a communiqué toutes ses conclusions à Adobe et à dochub.com.
Les sources de cet article comprennent un article de BleepingComputer.
