Adobe Acrobat - turvalise dokumendi e-posti viirus E-posti kelmus

Adobe Acrobat - Secure Document e-posti pettus on pahatahtlik rämpspostikampaania, mis on loodud pahavara levitamiseks. Petturlikud sõnumid maskeeruvad Adobe Acrobat Signi teavitusteks, püüdes veenda saajaid, et nad on saanud olulise dokumendi, mis vajab nende tähelepanu.

E-kirja kohaselt kaalub saatja saaja organisatsiooni tulevase lepinguprojekti jaoks ja soovib arutada võimalikku koostööd. Et sõnum tunduks usutavam, väidetakse e-kirjas, et ülevaatamiseks ja allkirjastamiseks on saadaval turvaline dokument. Saajaid hoiatatakse, et dokument aegub 48 tunni jooksul, luues kiireloomulisuse tunde, mille eesmärk on survestada neid tegutsema ilma hoolika kaalumiseta.

Meilides on nupp, millel on tavaliselt silt „Vaata dokument üle ja allkirjasta“. Sellele nupule klõpsamine ei ava seaduslikku Adobe'i dokumenti. Selle asemel suunatakse kasutajad küberkurjategijate kontrolli all olevale petturlikule veebisaidile.

Võlts Adobe’i värskenduste lõks

Pärast manustatud nupule klõpsamist suunatakse ohvrid veebisaidile, mis on kujundatud ametliku Adobe Readeri lehe sarnaseks. Petturlik leht väidab, et külastaja Adobe Readeri tarkvara on aegunud ja seda tuleb enne dokumendile juurdepääsu värskendada.

Selle pettuse toetamiseks algatab sait automaatselt faili nimega „ScreenConnect.ClientSetup.msi” allalaadimise, esitledes seda Adobe'i kohustusliku värskendusena.

Tegelikkuses pole allalaaditud failil Adobe'i värskendustega mingit seost. See on muudetud installifail, mis sisaldab pahatahtlikke konfiguratsioone, mis teenivad ründajate eesmärke. Lehe veenev välimus on mõeldud kahtlustuse vähendamiseks ja ohvrite julgustamiseks allalaaditud faili käivitama.

Kuidas pahavara süsteeme kahjustab

Allalaaditud MSI-fail on ScreenConnecti trooja nakatatud versioon, mis on ConnectWise'i loodud legitiimne kaugtöölaua ja IT-halduse rakendus. Kuigi algset tarkvara kasutavad laialdaselt IT-spetsialistid, kuritarvitavad küberkurjategijad seda, manustades installiprogrammi oma serveriseaded.

Pärast käivitamist loob muudetud installiprogramm vaikselt ühenduse ründaja kontrollitava infrastruktuuriga. See annab ohustajatele kaugjuurdepääsu ohustatud süsteemile ilma kasutaja teadmata.

Kaugjuurdepääsu loomisel võivad ründajad olla võimelised:

• Seadmesse salvestatud failide kuvamine, kopeerimine või kustutamine.
• Varasta salvestatud paroole, finantsteavet ja muid tundlikke andmeid.
• Paigalda täiendavat pahavara, sealhulgas lunavara ja infovarastajaid.
• Jälgige kasutajate tegevust ja koguge konfidentsiaalset teavet.

• Säilita pikaajaline juurdepääs nakatunud arvutile.

Kuna pahavara toimib kaugjuurdepääsu tööriistana, ei pruugi ohvrid koheselt mingeid märke ohtu sattumisest märgata.

Miks need meilid on ohtlikud

Selle pettuse peamine oht seisneb võimes ära kasutada usaldust tuntud kaubamärgi vastu. Paljud kasutajad on Adobe Acrobat Signi teavitustega tuttavad ja ei pruugi dokumendi jagamise taotluse autentsuses kahelda.

Professionaalse ilmega vormingu, ärialase teema ja aegumishoiatuste kombinatsioon suurendab tõenäosust, et adressaadid klõpsavad antud lingil. Kui installiprogramm on käivitatud, saavad ründajad ulatusliku kontrolli kahjustatud süsteemi üle, mis võib viia rahaliste kahjude, identiteedivarguse, andmete rikkumiseni või edasiste pahavaranakkusteni.

Rämpspost kui pahavara edastamise mehhanismid

Pahatahtlikud meilikampaaniad on endiselt üks levinumaid meetodeid pahavara levitamiseks. Küberkurjategijad toetuvad petlikele sõnumitele, et veenda saajaid avama ohtlikke manuseid või külastama pahatahtlikke veebisaite.

Manused võivad olla maskeeritud tavaliste failidena, näiteks dokumentide, PDF-ide, tihendatud arhiivide või skriptidena. Mõnel juhul peavad kasutajad enne nakatumisprotsessi algust tegema lisatoiminguid, näiteks lubama makrode või sisu käivitamise.

Rämpspostis sisalduvad lingid võivad olla sama ohtlikud. Need suunavad kasutajad sageli petturlikele veebisaitidele, mis laadivad automaatselt alla pahatahtlikke faile või kuvavad võltsitud juhiseid, mis julgustavad ohvreid tarkvara installima. Adobe Acrobat - Secure Document pettuses tugineb nakkusahel võltsitud Adobe'i värskenduslehele, mis pakub troojalase installiprogrammi.

Märgid, et e-kiri võib olla petturlik

Selliseid pettusi aitavad tuvastada mitmed hoiatusmärgid:

• Ootamatud dokumentide jagamise taotlused tundmatutelt saatjatelt.
• Kiireloomulisust tekitavad sõnumid aegumistähtaegade või hoiatuste kaudu.
• Tarkvarauuenduste allalaadimise taotlused e-kirjades sisalduvate linkide kaudu.
• Halvasti kontrollitud saatja aadressid, mis ei vasta väidetavale organisatsioonile.
• Ootamatud ümbersuunamised veebisaitidele, mis nõuavad tarkvara installimist.

Nende näitajate äratundmine võib oluliselt vähendada sarnaste rünnakute ohvriks langemise ohtu.

Mida teha, kui installiprogramm käivitati

Igaüks, kes laadis alla ja käivitas faili ScreenConnect.ClientSetup.msi, peaks eeldama, et arvuti võis olla ohustatud. Võimaliku kahju piiramiseks on oluline kohe tegutseda.

Täielik süsteemi skannimine usaldusväärse ja ajakohase turvalahenduse abil tuleks läbi viia niipea kui võimalik. Kasutajad peaksid kaaluma ka oluliste kontode paroolide vahetamist, eriti kui volitused võivad olla salvestatud kahjustatud seadme brauseritesse või paroolihalduritesse. Samuti on soovitatav jälgida finantskontosid ja tundlikke veebiteenuseid kahtlase tegevuse suhtes.

Lõppmõtted

Adobe Acrobat - Secure Document e-posti pettus on keerukas pahavara levitamise kampaania, mis teeskleb Adobe Acrobat Signi, et meelitada ohvreid alla laadima troojalase kaugjuurdepääsu tööriista. E-kirjades väidetakse valesti, et oluline dokument ootab ülevaatamist ja allkirjastamist, samas kui lingitud veebisait esitleb võltsitud Adobe Readeri värskendust, mis on loodud pahavara installimiseks.

Saajad peaksid vältima nende sõnumitega suhtlemist, hoiduma nende reklaamitavate failide allalaadimisest ja need viivitamatult kustutama. Ootamatute meilidega tegelemisel valvsaks jäämine on üks tõhusamaid kaitsemeetmeid pahavara nakkuste ja muude küberohtude vastu.