Atores de ameaças abusam do Adobe Acrobat Sign para distribuir o malware RedLine

atores-de-ameacas-abusam-do-adobe-acrobat-sign-para-distribuir-o-malware-redline

Cibercriminosos estão abusando do serviço legítimo Adobe Acrobat Sign para distribuir o malware RedLine, um ladrão de informações. Essa informação vem de pesquisadores da Avast, que relataram o abuso.

Adobe Acrobat Sign usado para distribuir o malware RedLine

O Adobe Acrobat Sign permite que usuários registrados assinem documentos online e enviem uma solicitação de assinatura de documento para qualquer pessoa. Este último processo consiste na geração de um email que é enviado aos destinatários pretendidos. A mensagem inclui um link para o documento que será hospedado na própria Adobe. Os especialistas apontaram que os usuários também podem adicionar um texto ao e-mail, essa opção pode ser abusada pelos invasores.

atores-de-ameacas-abusam-do-adobe-acrobat-sign-para-distribuir-o-malware-redline
Imagem: reprodução | security affairs

Quando a vítima clica no botão “Revisar e assinar”, ela é direcionada para uma página hospedada em “eu1.documents.adobe.com/public/”, que é outra fonte legítima que pertence à Adobe. As pessoas que usam este serviço podem fazer upload de uma ampla variedade de tipos de arquivos para o Adobe Acrobat Sign, que serão exibidos no e-mail com a opção de assiná-los.

Pesquisadores da Avast observaram criminosos incluindo texto com um link em um documento que tenta induzir a vítima a pensar que ela lerá o conteúdo antes de assiná-lo. Depois de clicar no link, a vítima é redirecionada para outro site, onde é solicitado a inserir um CAPTCHA codificado. Ao fornecer o CAPTCHA, a vítima será solicitada a baixar um arquivo ZIP contendo a variante Redline Trojan.

Os especialistas também observaram agentes de ameaças visando o mesmo destinatário dias depois, adicionando outro link ao e-mail enviado pela Adobe. Ao clicar nesse link, o destinatário é redirecionado para uma página hospedada no dochub.com, que também oferece assinatura eletrônica de documentos.

O arquivo usado neste segundo ataque inclui outra variante do Redline Trojan e alguns executáveis ??não maliciosos pertencentes ao jogo Grand Theft Auto V. Além disso, os atacantes também empregaram um truque simples na tentativa de evitar a detecção, eles aumentaram artificialmente o tamanho do Redline Trojan para mais de 400 MB.

Uma nova tática de distribuição do malware RedLine

Os especialistas concluem que o abuso do Adobe Acrobat Sign para distribuir malware é uma nova técnica usada pelos invasores em ataques direcionados. E, de acordo com o relatório dos pesquisadores da Avast, a equipe ainda não detectou outros ataques usando essa técnica; no entanto, eles temem que possa se tornar uma escolha popular para cibercriminosos em um futuro próximo.