Siber suçlular, bilgi çalan kötü amaçlı yazılımları şüphelenmeyen kullanıcılara dağıtmak için çevrimiçi bir belge imzalama hizmeti olan Adobe Acrobat Sign’ı kötüye kullanıyor.
Hizmet, güvenlik korumalarını atlamak ve alıcıları alınan e-postaya güvenmeleri için kandırmak amacıyla yazılım şirketinden kaynaklanan kötü amaçlı e-postalar göndermek için kötüye kullanılıyor.
Meşru hizmetleri kötüye kullanma stratejisi yeni değil. Son zamanlarda görülen benzer vakalar arasında PayPal faturalarının, Google Dokümanlar yorumlarının ve daha fazlasının kötüye kullanılması yer alır.
Siber suçtaki bu yeni eğilim, güvenlik katmanlarını aşma ve hedefleri kandırmadaki etkinliği konusunda uyarıda bulunan Avast araştırmacıları tarafından bildirildi.
Meşru hizmetleri kötüye kullanmak
Adobe Acrobat Sign, kullanıcıların elektronik imza göndermesine, imzalamasına, izlemesine ve yönetmesine olanak tanıyan, denemesi ücretsiz, bulut tabanlı bir e-imza hizmetidir.
Tehdit aktörleri hizmete kaydolur ve Adobe sunucularında (“eu1.documents.adobe.com/public/”) barındırılan bir belgeye (DOC, PDF veya HTML) bağlanan hedef e-posta adreslerine mesajlar göndermek için hizmeti kötüye kullanır.
Belgeler, ziyaretçilerden meşruiyet eklemek için bir CAPTCHA çözmelerini ve ardından onlara Redline bilgi hırsızının bir kopyasını içeren bir ZIP arşivi sunmalarını isteyen bir web sitesine bağlantı içerir.
Redline, hesap kimlik bilgilerini, kripto para cüzdanlarını, kredi kartlarını ve ihlal edilen cihazda saklanan diğer bilgileri çalabilen tehlikeli bir kötü amaçlı yazılımdır.
Avast ayrıca, hedefin çok sayıda abonesi olan popüler bir YouTube kanalına sahip olduğu bir durumda olduğu gibi, bu yöntemi kullanan yüksek düzeyde hedefli saldırılar tespit etti.
Adobe Acrobat Sign aracılığıyla gönderilen özel olarak hazırlanmış mesajın bağlantısına tıklanması, kurbanı YouTube kanal sahipleri için yaygın ve inandırıcı bir tema olan müzik telif hakkı ihlali iddiasında bulunan bir belgeye yönlendirdi.
Bu kez belge, yasal bir çevrimiçi belge imzalama platformu olan dochub.com’da barındırılıyordu.
Belgedeki bağlantı, Redline’ın bir kopyasını bırakan aynı CAPTCHA korumalı web sitesine yönlendirir.
Bununla birlikte, bu durumda ZIP, GTA V oyunundan birkaç kötü amaçlı olmayan yürütülebilir dosya da içeriyordu; bu, muhtemelen yükü zararsız dosyalarla karıştırarak AV araçlarını kandırma girişimiydi.
Avast ayrıca Redline yükünün her iki durumda da yapay olarak 400 MB’a yükseltildiğini ve bunun da yine anti-virüs taramalarından korunmaya yardımcı olduğunu bildiriyor. Aynı yöntem, son Emotet kötü amaçlı yazılım kimlik avı kampanyalarında da kullanıldı.
Kimlik avı yapan aktörler, sürekli olarak kötü amaçlı e-postalarını tanıtmak için kötüye kullanılabilecek yasal hizmetler ararlar, çünkü bu hizmetler gelen kutusu teslimini ve kimlik avı başarı oranlarını artırmaya yardımcı olur.
Avast, bulgularının tüm ayrıntılarını Adobe ve dochub.com ile paylaştı ve iki hizmetin de kötü amaçlı yazılım operatörlerinin kötüye kullanımını durdurmanın bir yolunu bulmasını umuyoruz.