Adobe Acrobat Sign abused to push Redline info-stealing malware
2023/03/16 BleepingComputer — オンライン・ドキュメント署名サービスである Adobe Acrobat Sign が、情報窃取マルウェアの配布に悪用されている。このサービスを悪用する脅威アクターたちは、Adobe を装う悪意のメールをターゲットに送信しすることで、セキュリティ保護を回避して受信者を騙そうとしている。このような、正規のサービスを悪用する手口は新しいものではない。最近に見られた同様のケースに、PayPal の請求書や Google Docs のコメントなどの悪用がある。Avast の研究者たちは、Adobe Acrobat Sign を悪用してセキュリティを回避してターゲットを騙す、この新たな詐欺手法について警告している。
悪用される正規のサービス
Adobe Acrobat Sign は、電子署名の送信/署名/追跡/管理のための、無料で使用できるクラウド・ベースの電子署名サービスだ。
このサービスにアカウント登録した脅威アクターたちは、それを悪用して、Adobe のサーバー eu1.documents.adobe.com/public/ でホストされている、DOC/PDF/HTML などのドキュメントにリンクするメッセージを、ターゲットのメールアドレスに送信する。
このドキュメントには、Web サイトへのリンクが含まれている。そこで、 CAPTCHA を解決した訪問者は正当性を刷り込まれ、Redline 情報スティーラーのコピーを含む ZIP アーカイブが提供される。Redline は、アカウント認証情報/暗号通貨ウォレット/クレジットカードなどの侵害されたデバイスに保存されている情報を盗む、危険なマルウェアだ。
Avast が観測した攻撃のなかには、多くの登録者を持つ人気の YouTuber がターゲットにされるケースもあった。このケースでは、Adobe Acrobat Sign を介して送信された、特別に作成されたメッセージのリンクをクリックすると、YouTuber にとって信憑性の高いテーマである、音楽著作権の侵害を主張するドキュメントが表示された。
このドキュメントは、合法的なオンライン・ドキュメント署名プラットフォームである dochub.com でホストされていた。
ドキュメント内のリンクは、Redline のコピーをドロップするのと同様に、CAPTCHA で保護された Web サイトへとつながっている。しかし、このケースでは、ZIP には GTAV ゲームの悪意のない実行ファイルもいくつか含まれており、ペイロードを無害なファイルと混ぜることで AV ツールを騙そうとしたものと思われる。
また、Avast のレポートによると、Redline のペイロードは、どちらのケースでも人為的に 400MB に増量されており、これも AV スキャンの回避に役立っているという。この手法は、最近の Emotet マルウェアのフィッシング・キャンペーンでも使用されている。
フィッシング・オペレーターたちは、悪意のメールを宣伝するために悪用できる、合法的なサービスを常に探している。これらのサービスは、受信トレイへの配信と、フィッシングの成功率を高めるのに役立つからだ。
Avast が調査した結果は、その全てが Adobe および dochub.com と共有されており、マルウェアのオペレーターからの悪用を阻止する方法を、この2つのサービスが見つ出すことが期待されている。
電子署名の送信/署名/追跡/管理のためのクラウド・サービス Adobe Acrobat Sign が、フィッシング・ルアーとして悪用されているようです。最近の Emotet が採用している、大容量ファイルでアンチウイルス・スキャンを回避する戦術をとっているようです。なお、文中で参照されている、PayPal と Google Docs の事例は、以下の記事で詳述されています。
2023/02/16:PayPal のメール・アカウントから偽請求書
2022/01/07:Google Docs コメントでフィッシング
IoT OT Security News 
You must be logged in to post a comment.