أدوبي أكروبات - بريد إلكتروني آمن للمستندات - فيروس البريد الإلكتروني الاحتيالي
عملية الاحتيال عبر البريد الإلكتروني باسم "Adobe Acrobat - Secure Document" هي حملة بريد إلكتروني خبيثة تهدف إلى نشر برامج ضارة. تتنكر هذه الرسائل الاحتيالية في هيئة إشعارات من Adobe Acrobat Sign، محاولةً إقناع المستلمين بأنهم قد تلقوا مستندًا هامًا يتطلب اهتمامهم.
بحسب الرسالة الإلكترونية، يُفكّر المُرسِل في التعاون مع مؤسسة المُستلِم في مشروع تعاقدي مُستقبلي، ويرغب في مناقشة إمكانية التعاون. ولإضفاء مزيد من المصداقية على الرسالة، تدّعي الرسالة وجود وثيقة آمنة متاحة للمراجعة والتوقيع. ويُحذّر المُستلِمون من أن صلاحية الوثيقة ستنتهي خلال 48 ساعة، ما يُثير شعورًا بالإلحاح بهدف الضغط عليهم لاتخاذ إجراء دون تفكير مُتأنٍّ.
تحتوي رسائل البريد الإلكتروني عادةً على زر يحمل عنوان "مراجعة المستند وتوقيعه". لا يؤدي النقر على هذا الزر إلى فتح مستند Adobe أصلي، بل يُعيد توجيه المستخدمين إلى موقع ويب احتيالي يُسيطر عليه مجرمو الإنترنت.
جدول المحتويات
فخ تحديث أدوبي المزيف
بعد النقر على الزر المضمن، يتم توجيه الضحايا إلى موقع ويب مصمم ليبدو كصفحة رسمية لبرنامج Adobe Reader. تدّعي الصفحة الاحتيالية أن برنامج Adobe Reader الخاص بالزائر قد انتهت صلاحيته ويجب تحديثه قبل التمكن من الوصول إلى المستند.
ولدعم هذا الخداع، يبدأ الموقع تلقائيًا في تنزيل ملف باسم 'ScreenConnect.ClientSetup.msi'، ويقدمه على أنه تحديث مطلوب من Adobe.
في الواقع، لا علاقة للملف الذي تم تنزيله بتحديثات أدوبي. إنه برنامج تثبيت مُعدّل يحتوي على إعدادات خبيثة تخدم أهداف المهاجمين. يهدف المظهر المُقنع للصفحة إلى تقليل الشكوك وتشجيع الضحايا على تشغيل الملف الذي تم تنزيله.
كيف تخترق البرامج الضارة الأنظمة
ملف MSI الذي تم تنزيله هو نسخة مُعدّلة من برنامج ScreenConnect، وهو تطبيق شرعي لإدارة سطح المكتب عن بُعد وتقنية المعلومات، تم تطويره بواسطة شركة ConnectWise. وبينما يُستخدم البرنامج الأصلي على نطاق واسع من قِبل متخصصي تقنية المعلومات، يستغله مجرمو الإنترنت عن طريق تضمين إعدادات خادمهم الخاصة في برنامج التثبيت.
بمجرد تشغيل برنامج التثبيت المُعدَّل، يقوم بإنشاء اتصال صامت مع البنية التحتية التي يتحكم بها المهاجم. وهذا يمنح الجهات الخبيثة إمكانية الوصول عن بُعد إلى النظام المخترق دون علم المستخدم.
مع إنشاء الوصول عن بعد، قد يتمكن المهاجمون من:
- عرض الملفات المخزنة على الجهاز أو نسخها أو حذفها.
- سرقة كلمات المرور المحفوظة والمعلومات المالية وغيرها من البيانات الحساسة.
- قم بتثبيت برامج ضارة إضافية، بما في ذلك برامج الفدية وبرامج سرقة المعلومات.
نظراً لأن البرامج الضارة تعمل كأداة وصول عن بعد، فقد لا يلاحظ الضحايا على الفور أي علامات على الاختراق.
لماذا تُعتبر هذه الرسائل الإلكترونية خطيرة؟
يكمن الخطر الرئيسي لهذه الخدعة في قدرتها على استغلال الثقة في علامة تجارية معروفة. فالعديد من المستخدمين على دراية بإشعارات Adobe Acrobat Sign، وقد لا يشككون في صحة طلب مشاركة المستندات.
يزيد الجمع بين التنسيق الاحترافي، والمحتوى ذي الصلة بالأعمال، وتحذيرات انتهاء الصلاحية، من احتمالية نقر المستلمين على الرابط المرفق. وبمجرد تشغيل برنامج التثبيت، يستطيع المهاجمون السيطرة بشكل كامل على النظام المُصاب، مما قد يؤدي إلى خسائر مالية، أو سرقة هوية، أو اختراقات للبيانات، أو المزيد من الإصابات بالبرامج الضارة.
رسائل البريد الإلكتروني العشوائية كآلية لنشر البرامج الضارة
لا تزال حملات البريد الإلكتروني الخبيثة من أكثر الطرق شيوعًا لنشر البرامج الضارة. ويعتمد مجرمو الإنترنت على الرسائل الخادعة لإقناع المتلقين بفتح مرفقات خطيرة أو زيارة مواقع ويب خبيثة.
قد تُخفى المرفقات على هيئة ملفات عادية مثل المستندات أو ملفات PDF أو الأرشيفات المضغوطة أو البرامج النصية. في بعض الحالات، يجب على المستخدمين اتخاذ إجراءات إضافية، مثل تفعيل وحدات الماكرو أو تشغيل المحتوى، قبل بدء عملية الإصابة.
قد تكون الروابط الموجودة في رسائل البريد الإلكتروني العشوائية خطيرة بنفس القدر. فهي غالبًا ما تُعيد توجيه المستخدمين إلى مواقع ويب احتيالية تقوم بتنزيل ملفات ضارة تلقائيًا أو تعرض مطالبات زائفة تحث الضحايا على تثبيت برامج ضارة. في عملية الاحتيال المتعلقة ببرنامج Adobe Acrobat - Secure Document، تعتمد سلسلة العدوى على صفحة تحديث مزيفة لبرنامج Adobe تُحمّل برنامج تثبيت مُصابًا ببرمجية خبيثة.
علامات تدل على أن البريد الإلكتروني قد يكون احتيالياً
هناك عدة علامات تحذيرية يمكن أن تساعد في تحديد عمليات الاحتيال مثل هذه:
- طلبات مشاركة مستندات غير متوقعة من مرسلين مجهولين.
- رسائل تخلق شعوراً بالإلحاح من خلال مواعيد انتهاء الصلاحية أو التحذيرات.
- طلبات تنزيل تحديثات البرامج من الروابط الموجودة في رسائل البريد الإلكتروني.
- عناوين المرسلين التي لم يتم التحقق منها بشكل جيد والتي لا تتطابق مع المنظمة المزعومة.
- عمليات إعادة توجيه غير متوقعة إلى مواقع ويب تطلب تثبيت برامج.
إن التعرف على هذه المؤشرات يمكن أن يقلل بشكل كبير من خطر الوقوع ضحية لهجمات مماثلة.
ماذا تفعل إذا تم تشغيل برنامج التثبيت؟
ينبغي على كل من قام بتنزيل وتشغيل ملف ScreenConnect.ClientSetup.msi أن يفترض أن جهازه قد يكون مخترقاً. اتخاذ إجراء فوري أمر ضروري للحد من الأضرار المحتملة.
يُنصح بإجراء فحص شامل للنظام باستخدام حل أمني موثوق ومُحدّث في أسرع وقت ممكن. كما يُنصح المستخدمون بتغيير كلمات مرور الحسابات المهمة، خاصةً إذا كانت بيانات الاعتماد مُخزّنة في متصفحات الإنترنت أو برامج إدارة كلمات المرور على الجهاز المُصاب. ويُوصى أيضًا بمراقبة الحسابات المالية والخدمات الإلكترونية الحساسة بحثًا عن أي نشاط مُريب.
الخاتمة
تُعدّ عملية الاحتيال عبر البريد الإلكتروني "Adobe Acrobat - Secure Document" حملةً متطورةً لنشر برامج خبيثة، تنتحل صفة برنامج Adobe Acrobat Sign لجذب الضحايا إلى تحميل أداة وصول عن بُعد مُخترقة. تدّعي الرسائل الإلكترونية زورًا أن مستندًا هامًا ينتظر المراجعة والتوقيع، بينما يُقدّم الموقع الإلكتروني المُرتبط تحديثًا مزيفًا لبرنامج Adobe Reader مُصمّمًا لتثبيت برامج خبيثة.
ينبغي على المستلمين تجنب التفاعل مع هذه الرسائل، والامتناع عن تنزيل أي ملفات تروج لها، وحذفها فوراً. يُعدّ توخي الحذر عند التعامل مع رسائل البريد الإلكتروني غير المتوقعة من أكثر وسائل الحماية فعالية ضد البرامج الضارة وغيرها من التهديدات الإلكترونية.
System Messages
The following system messages may be associated with أدوبي أكروبات - بريد إلكتروني آمن للمستندات - فيروس البريد الإلكتروني الاحتيالي:
Subject: E-docsignatureScreenClientSetupServer.programDocumentReview8291 |