Adobe Acrobat - Вирус за защитен документ, имейл, измама с имейл

Измамата Adobe Acrobat - Secure Document е злонамерена спам кампания, създадена за разпространение на зловреден софтуер. Измамните съобщения се маскират като известия от Adobe Acrobat Sign, опитвайки се да убедят получателите, че са получили важен документ, изискващ тяхното внимание.

Според имейла, подателят обмисля организацията на получателя за бъдещ договорен проект и желае да обсъди потенциално сътрудничество. За да изглежда съобщението по-достоверно, в имейла се твърди, че е наличен защитен документ за преглед и подпис. Получателите са предупредени, че документът ще изтече в рамките на 48 часа, което създава усещане за неотложност, целящо да ги принуди да действат без внимателно обмисляне.

Имейлите съдържат бутон, обикновено обозначен като „Преглед и подписване на документ“. Щракването върху този бутон не отваря легитимен документ на Adobe. Вместо това, потребителите се пренасочват към измамен уебсайт, контролиран от киберпрестъпници.

Фалшивият капан за актуализации на Adobe

След като кликнат върху вградения бутон, жертвите биват пренасочени към уебсайт, проектиран да наподобява официална страница на Adobe Reader. Измамната страница твърди, че софтуерът на Adobe Reader на посетителя е с изтекъл срок на валидност и трябва да бъде актуализиран, преди да може да се осъществи достъп до документа.

За да подкрепи тази заблуда, сайтът автоматично инициира изтеглянето на файл с име „ScreenConnect.ClientSetup.msi“, представяйки го като необходима актуализация на Adobe.

В действителност, изтегленият файл няма връзка с актуализации на Adobe. Това е модифициран инсталатор, съдържащ злонамерени конфигурации, които обслужват целите на нападателите. Убедителният външен вид на страницата има за цел да намали подозренията и да насърчи жертвите да стартират изтегления файл.

Как зловредният софтуер компрометира системите

Изтегленият MSI файл е троянска версия на ScreenConnect, легитимно приложение за отдалечен работен плот и управление на ИТ, разработено от ConnectWise. Въпреки че оригиналният софтуер се използва широко от ИТ специалисти, киберпрестъпниците го злоупотребяват, като вграждат свои собствени настройки на сървъра в инсталатора.

След като бъде изпълнен, модифицираният инсталатор установява тиха връзка с контролираната от нападателя инфраструктура. Това предоставя на злонамерените лица отдалечен достъп до компрометираната система без знанието на потребителя.

С установен отдалечен достъп, нападателите могат да:

• Преглеждайте, копирайте или изтривайте файлове, съхранени на устройството.
• Кражба на запазени пароли, финансова информация и други чувствителни данни.
• Инсталирайте допълнителен зловреден софтуер, включително ransomware и програми за кражба на информация.
• Следете потребителската активност и събирайте поверителна информация.

• Поддържайте дългосрочен достъп до заразения компютър.

Тъй като зловредният софтуер функционира като инструмент за отдалечен достъп, жертвите може да не забележат веднага никакви признаци на компрометиране.

Защо тези имейли са опасни

Основната опасност от тази измама се крие в способността ѝ да злоупотребява с доверието в добре позната марка. Много потребители са запознати с известията на Adobe Acrobat Sign и може да не поставят под въпрос автентичността на заявка за споделяне на документи.

Комбинацията от професионално изглеждащо форматиране, тематика, свързана с бизнеса, и предупреждения за изтичане на срока на валидност увеличава вероятността получателите да кликнат върху предоставената връзка. След като инсталаторът бъде изпълнен, нападателите могат да получат широк контрол над засегнатата система, което потенциално може да доведе до финансови загуби, кражба на самоличност, нарушения на данните или по-нататъшни инфекции със зловреден софтуер.

Спам имейли като механизми за доставка на зловреден софтуер

Злонамерените имейл кампании остават един от най-често използваните методи за разпространение на зловреден софтуер. Киберпрестъпниците разчитат на подвеждащи съобщения, за да убедят получателите да отворят опасни прикачени файлове или да посетят злонамерени уебсайтове.

Прикачените файлове могат да бъдат маскирани като обикновени файлове, като например документи, PDF файлове, компресирани архиви или скриптове. В някои случаи потребителите трябва да извършат допълнителни действия, като например активиране на макроси или изпълнение на съдържание, преди да започне процесът на заразяване.

Връзките, съдържащи се в спам имейлите, могат да бъдат също толкова опасни. Те често пренасочват потребителите към измамнически уебсайтове, които автоматично изтеглят злонамерени файлове или показват фалшиви подкани, насърчаващи жертвите да инсталират софтуер. В измамата Adobe Acrobat - Secure Document, веригата на заразяване разчита на фалшива страница за актуализация на Adobe, която доставя инсталатор, заразен с троянски кон.

Признаци, че имейлът може да е измамен

Няколко предупредителни знака могат да помогнат за разпознаването на измами като тази:

• Неочаквани заявки за споделяне на документи от неизвестни податели.
• Съобщения, създаващи неотложност чрез крайни срокове или предупреждения.
• Заявки за изтегляне на софтуерни актуализации от връзки, съдържащи се в имейли.
• Лошо проверени адреси на податели, които не съответстват на заявената организация.
• Неочаквани пренасочвания към уебсайтове, изискващи инсталиране на софтуер.

Разпознаването на тези индикатори може значително да намали риска от това да станете жертва на подобни атаки.

Какво да направите, ако инсталаторът е бил изпълнен

Всеки, който е изтеглил и стартирал файла ScreenConnect.ClientSetup.msi, трябва да предположи, че компютърът може да е бил компрометиран. Незабавните действия са от съществено значение за ограничаване на потенциалните щети.

Пълно сканиране на системата, използващо надеждно и актуално решение за сигурност, трябва да се извърши възможно най-скоро. Потребителите също трябва да обмислят промяна на паролите за важни акаунти, особено ако е възможно идентификационните данни да са били съхранени в браузъри или мениджъри на пароли на засегнатото устройство. Препоръчва се също наблюдение на финансови акаунти и чувствителни онлайн услуги за подозрителна активност.

Заключителни мисли

Измамата с Adobe Acrobat - Secure Document е сложна кампания за разпространение на зловреден софтуер, която се представя за Adobe Acrobat Sign, за да примами жертвите да изтеглят троянски инструмент за отдалечен достъп. Имейлите лъжливо твърдят, че важен документ очаква преглед и подпис, докато свързаният уебсайт представя фалшива актуализация на Adobe Reader, предназначена да инсталира зловреден софтуер.

Получателите трябва да избягват взаимодействие с тези съобщения, да се въздържат от изтегляне на файлове, които те рекламират, и да ги изтриват незабавно. Бдителността при работа с неочаквани имейли е една от най-ефективните защити срещу инфекции със зловреден софтуер и други киберзаплахи.