악성 코드 배포에 사용되는 Adobe Acrobat Sign
사이버 범죄자들이 인기 있는 온라인 문서 서명 서비스인 Adobe Acrobat Sign을 악용하여 의심하지 않는 사용자에게 정보를 훔치는 멀웨어를 배포하는 새로운 방법을 발견했습니다. Avast 연구원들은 위협 행위자가 이 서비스에 등록하고 이를 사용하여 미리 정의된 이메일 주소로 악성 이메일을 보내는 것을 발견했습니다.
이 이메일은 소프트웨어 회사에서 보낸 것처럼 보이도록 설계되어 보안 조치를 우회하고 수신자가 이를 신뢰하도록 속일 수 있습니다. 이메일에 포함된 링크는 피해자를 Adobe 서버에 호스팅된 문서로 리디렉션하고, 이 문서는 합법성을 추가하기 위해 보안 문자를 입력하도록 요청하는 웹사이트로 리디렉션합니다. 그런 다음 감염된 디바이스에서 계정 자격 증명, 암호화폐 지갑, 신용카드 및 기타 데이터를 탈취할 수 있는 Redline 정보 탈취 멀웨어가 포함된 ZIP 아카이브가 방문자에게 제공됩니다.
Avast 연구원들은 이 방법을 사용하는 고도로 표적화된 공격도 발견했습니다. 한 예로, 구독자 수가 많은 인기 YouTube 채널 소유자가 표적이 되었습니다. 피해자는 Adobe Acrobat Sign을 통해 전송된 특수 제작된 메시지의 링크를 클릭한 후 음악 저작권 침해를 주장하는 문서로 이동했으며, 이는 YouTube 채널 소유자에게 일반적이고 믿을 수 있는 주제입니다.
이 문서는 또 다른 합법적인 온라인 문서 서명 플랫폼인 dochub.com에서 호스팅되었습니다. 문서에 있는 링크를 클릭하면 캡챠로 보호된 동일한 웹사이트로 이동하여 레드라인의 사본을 다운로드할 수 있습니다. 이 경우 ZIP 파일에는 GTA V 게임의 비악성 실행 파일도 여러 개 포함되어 있어 AV 툴을 속이기 위해 페이로드에 비악성 파일이 혼합되어 있음을 알 수 있습니다.
Avast에 따르면 두 경우 모두 Redline 페이로드가 인위적으로 400MB로 부풀려져 바이러스 백신 검색에 도움이 된다고 합니다. 이 방법은 최근 Emotet 멀웨어 피싱 캠페인에서도 사용되었습니다. 사이버 범죄자들은 받은 편지함 전달 및 피싱 성공률을 높이는 데 도움이 되는 합법적인 서비스를 악용하여 악성 이메일을 홍보하는 데 악용할 수 있는 합법적인 서비스를 지속적으로 찾고 있습니다.
Avast는 모든 조사 결과를 Adobe와 dochub.com에 공개했습니다.
이 글의 출처는 BleepingComputer의 기사입니다.