Adobe Acrobat - Virus de correu electrònic de documents segurs Estafa de correu electrònic

L'estafa de correu electrònic Adobe Acrobat - Secure Document és una campanya de correu brossa maliciosa creada per distribuir programari maliciós. Els missatges fraudulents es fan passar per notificacions d'Adobe Acrobat Sign, intentant convèncer els destinataris que han rebut un document important que requereix la seva atenció.

Segons el correu electrònic, el remitent està considerant l'organització del destinatari per a un futur projecte contractual i vol discutir una possible col·laboració. Per fer que el missatge sembli més creïble, el correu electrònic afirma que hi ha un document segur disponible per a la seva revisió i signatura. S'adverteix els destinataris que el document caducarà en un termini de 48 hores, cosa que crea una sensació d'urgència amb la intenció de pressionar-los perquè actuïn sense una consideració acurada.

Els correus electrònics contenen un botó que normalment s'anomena "Revisa i signa el document". En fer clic en aquest botó no s'obre un document d'Adobe legítim. En canvi, redirigeix els usuaris a un lloc web fraudulent controlat per ciberdelinqüents.

La trampa de les actualitzacions falses d’Adobe

Després de fer clic al botó incrustat, les víctimes són dirigides a un lloc web dissenyat per semblar-se a una pàgina oficial d'Adobe Reader. La pàgina fraudulenta afirma que el programari Adobe Reader del visitant ha caducat i s'ha d'actualitzar abans de poder accedir al document.

Per donar suport a aquest engany, el lloc web inicia automàticament la descàrrega d'un fitxer anomenat "ScreenConnect.ClientSetup.msi", presentant-lo com una actualització obligatòria d'Adobe.

En realitat, el fitxer descarregat no té cap connexió amb les actualitzacions d'Adobe. És un instal·lador modificat que conté configuracions malicioses que serveixen als objectius dels atacants. L'aspecte convincent de la pàgina pretén reduir les sospites i animar les víctimes a executar el fitxer descarregat.

Com el programari maliciós compromet els sistemes

El fitxer MSI descarregat és una versió troiana de ScreenConnect, una aplicació legítima d'escriptori remot i gestió informàtica desenvolupada per ConnectWise. Tot i que el programari original és àmpliament utilitzat pels professionals de les TI, els ciberdelinqüents l'abusen integrant la seva pròpia configuració de servidor a l'instal·lador.

Un cop executat, l'instal·lador modificat estableix silenciosament una connexió amb la infraestructura controlada per l'atacant. Això garanteix als actors de les amenaces accés remot al sistema compromès sense el coneixement de l'usuari.

Amb l'accés remot establert, els atacants poden:

• Visualitza, copia o suprimeix fitxers emmagatzemats al dispositiu.
• Robar contrasenyes desades, informació financera i altres dades sensibles.
• Instal·leu programari maliciós addicional, com ara ransomware i lladres d'informació.
• Supervisar l'activitat dels usuaris i recopilar informació confidencial.

• Mantenir l'accés a llarg termini a l'ordinador infectat.

Com que el programari maliciós funciona com una eina d'accés remot, és possible que les víctimes no notin immediatament cap signe de compromís.

Per què aquests correus electrònics són perillosos

El principal perill d'aquesta estafa rau en la seva capacitat d'explotar la confiança en una marca coneguda. Molts usuaris estan familiaritzats amb les notificacions d'Adobe Acrobat Sign i és possible que no qüestionin l'autenticitat d'una sol·licitud per compartir documents.

La combinació de format d'aspecte professional, temes relacionats amb l'empresa i avisos de caducitat augmenta la probabilitat que els destinataris facin clic a l'enllaç proporcionat. Un cop executat l'instal·lador, els atacants poden obtenir un control ampli sobre el sistema afectat, cosa que pot provocar pèrdues financeres, robatori d'identitat, filtracions de dades o més infeccions de programari maliciós.

Correus electrònics brossa com a mecanismes de distribució de programari maliciós

Les campanyes de correu electrònic malicioses continuen sent un dels mètodes més comuns utilitzats per distribuir programari maliciós. Els ciberdelinqüents es basen en missatges enganyosos per persuadir els destinataris perquè obrin fitxers adjunts perillosos o visitin llocs web maliciosos.

Els fitxers adjunts poden estar disfressats de fitxers ordinaris com ara documents, PDF, arxius comprimits o scripts. En alguns casos, els usuaris han de realitzar accions addicionals, com ara habilitar macros o executar contingut, abans que comenci el procés d'infecció.

Els enllaços que contenen els correus electrònics brossa poden ser igualment perillosos. Sovint redirigeixen els usuaris a llocs web fraudulents que descarreguen automàticament fitxers maliciosos o mostren indicacions falses que animen les víctimes a instal·lar programari. En l'estafa d'Adobe Acrobat - Secure Document, la cadena d'infecció es basa en una pàgina d'actualització d'Adobe falsificada que proporciona un instal·lador troià.

Senyals que un correu electrònic pot ser fraudulent

Diversos senyals d'alerta poden ajudar a identificar estafes com aquesta:

• Sol·licituds inesperades per compartir documents de remitents desconeguts.
• Missatges que creen urgència a través de terminis de caducitat o avisos.
• Sol·licituds per descarregar actualitzacions de programari des d'enllaços que figuren als correus electrònics.
• Adreces de remitent mal verificades que no coincideixen amb l'organització reclamada.
• Redireccions inesperades a llocs web que sol·liciten instal·lacions de programari.

Reconèixer aquests indicadors pot reduir significativament el risc de ser víctima d'atacs similars.

Què cal fer si s’ha executat l’instal·lador

Qualsevol persona que hagi descarregat i executat el fitxer ScreenConnect.ClientSetup.msi hauria de suposar que l'ordinador pot haver estat compromès. Cal actuar immediatament per limitar els possibles danys.

Cal dur a terme una anàlisi completa del sistema amb una solució de seguretat fiable i actualitzada tan aviat com sigui possible. Els usuaris també haurien de considerar canviar les contrasenyes dels comptes importants, sobretot si les credencials s'han emmagatzemat als navegadors o als gestors de contrasenyes del dispositiu afectat. També es recomana supervisar els comptes financers i els serveis en línia sensibles per detectar activitats sospitoses.

Reflexions finals

L'estafa de correu electrònic Adobe Acrobat - Secure Document és una sofisticada campanya de distribució de programari maliciós que suplanta Adobe Acrobat Sign per atraure les víctimes perquè descarreguin una eina d'accés remot amb troians. Els correus electrònics afirmen falsament que un document important està pendent de revisió i signatura, mentre que el lloc web enllaçat presenta una actualització falsa d'Adobe Reader dissenyada per instal·lar programari maliciós.

Els destinataris han d'evitar interactuar amb aquests missatges, abstenir-se de descarregar els fitxers que promocionin i suprimir-los immediatament. Mantenir-se alerta a l'hora de gestionar correus electrònics inesperats és una de les defenses més efectives contra les infeccions de programari maliciós i altres amenaces cibernètiques.