Penjahat dunia maya menyalahgunakan Adobe Acrobat Sign, layanan penandatanganan dokumen online, untuk mendistribusikan malware pencuri info kepada pengguna yang tidak menaruh curiga.
Layanan ini disalahgunakan untuk mengirim email jahat yang berasal dari perusahaan perangkat lunak untuk melewati perlindungan keamanan dan mengelabui penerima agar mempercayai email yang diterima.
Strategi menyalahgunakan layanan resmi bukanlah hal baru. Kasus serupa yang terlihat baru-baru ini termasuk penyalahgunaan Faktur PayPal, komentar Google Dokumendan banyak lagi.
Tren baru dalam kejahatan dunia maya ini dilaporkan oleh para peneliti di Avastyang memperingatkan tentang keefektifannya dalam melewati lapisan keamanan dan mengelabui target.
Menyalahgunakan layanan yang sah
Adobe Acrobat Sign adalah layanan tanda tangan elektronik berbasis cloud yang dapat dicoba gratis yang memungkinkan pengguna mengirim, menandatangani, melacak, dan mengelola tanda tangan elektronik.
Pelaku ancaman mendaftar ke layanan dan menyalahgunakannya untuk mengirim pesan ke alamat email target, yang tertaut ke dokumen (DOC, PDF, atau HTML) yang dihosting di server Adobe (“eu1.documents.adobe.com/public/”).
Dokumen tersebut berisi tautan ke situs web yang meminta pengunjung untuk memecahkan CAPTCHA untuk menambah legitimasi dan kemudian menyajikan arsip ZIP yang menyertakan salinan pencuri informasi Redline.
Redline adalah malware berbahaya yang mampu mencuri kredensial akun, dompet cryptocurrency, kartu kredit, dan informasi lain yang disimpan di perangkat yang dilanggar.
Avast juga melihat serangan yang sangat tertarget menggunakan metode ini, seperti dalam satu kasus di mana target memiliki saluran YouTube populer dengan banyak pelanggan.
Mengklik tautan pesan yang dibuat khusus yang dikirim melalui Adobe Acrobat Sign membawa korban ke dokumen yang mengklaim pelanggaran hak cipta musik, tema umum dan dapat dipercaya bagi pemilik saluran YouTube.
Kali ini, dokumen tersebut dihosting di dochub.com, platform penandatanganan dokumen online yang sah.
Tautan dalam dokumen mengarah ke situs web yang dilindungi CAPTCHA yang sama yang memberikan salinan Redline.
Namun, dalam kasus ini, ZIP juga berisi beberapa executable yang tidak berbahaya dari game GTA V, kemungkinan merupakan upaya untuk mengelabui alat AV dengan mencampur muatan dengan file yang tidak berbahaya.
Avast juga melaporkan bahwa muatan Redline digelembungkan secara artifisial menjadi 400MB dalam kedua kasus, yang, sekali lagi, membantu melindungi dari pemindaian anti-virus. Metode yang sama ini digunakan baru-baru ini Kampanye phishing malware emotet.
Aktor phishing terus mencari layanan yang sah itu dapat disalahgunakan untuk mempromosikan email jahat mereka, karena layanan ini membantu meningkatkan pengiriman kotak masuk dan tingkat keberhasilan phishing.
Avast telah membagikan semua detail temuannya dengan Adobe dan dochub.com, dan mudah-mudahan, kedua layanan tersebut akan menemukan cara untuk menghentikan penyalahgunaan dari operator malware.
