威胁行为者滥用Adobe Acrobat Sign分发RedLine信息窃取程序
威胁行为者滥用合法的Adobe Acrobat Sign服务来分发RedLine信息窃取程序。
Avast研究人员报告说,威胁行为者正在滥用合法的Adobe Acrobat Sign服务来分发RedLine 信息窃取程序。
Adobe Acrobat Sign允许注册用户在线签署文档并向任何人发送文档签名请求。后一个过程包括生成发送给预期收件人的电子邮件。该消息包含指向将托管在Adobe本身的文档的链接。
专家指出,用户还可以在电子邮件中添加文本,此选项可能会被攻击者滥用。
服务生成的电子邮件具有发件人地址“adobesign@adobesign.com”,这当然是任何防御解决方案都信任的合法电子邮件地址。
当受害者单击“审阅并签名”按钮时,会将他们带到“eu1.documents.adobe.com/public/”中托管的页面,这是属于 Adobe的另一个合法来源。正如我之前提到的,使用此服务的人可以将各种文件类型上传到Adobe Acrobat Sign,这些文件将显示在电子邮件中,并带有签名选项。
Avast研究人员观察到骗子在文档中包含带有链接的文本,试图诱骗受害者认为他们会在签署内容之前阅读内容。单击该链接后,受害者将被重定向到另一个站点,要求他们输入硬编码的验证码。
提供验证码后,受害者将被要求下载包含Redline 特洛伊木马变种的 ZIP 存档。
专家们还观察到威胁行为者在几天后通过向Adobe发送的电子邮件添加另一个链接来瞄准同一收件人。单击该链接后,收件人将被重定向到托管在dochub.com上的页面,该页面也提供电子文档签名。
第二次攻击中使用的存档包括另一个Redline特洛伊木马变种和一些属于侠盗猎车手V游戏的非恶意可执行文件。
攻击者还使用了一个简单的技巧来避免检测,他们人为地将Redline木马的大小增加到400MB以上。
“这些网络犯罪分子在这些攻击中使用的Redline的两个变体的一个特征是,他们人为地将木马的大小增加到400MB以上。受害者在下载过程中不会注意到这一点,因为文件是压缩的,而且大部分人为大小只是用零填充。”“原因不明;网络犯罪分子可能正在使用它,希望绕过一些可能对大文件表现不同的防病毒引擎。”
专家总结称,滥用Adobe Acrobat Sign分发恶意软件是攻击者在针对性攻击中使用的新技术。
“我们的团队尚未检测到使用这种技术的其他攻击;尽管如此,我们担心它可能会在不久的将来成为网络犯罪分子的热门选择。”
本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/5187.html
