Adobe Acrobat - Truffa via email con virus e documenti protetti

La truffa via email "Adobe Acrobat - Documento protetto" è una campagna di spam dannosa creata per diffondere malware. I messaggi fraudolenti si spacciano per notifiche di Adobe Acrobat Sign, cercando di convincere i destinatari di aver ricevuto un documento importante che richiede la loro attenzione.

Secondo quanto riportato nell'e-mail, il mittente sta valutando l'organizzazione del destinatario per un futuro progetto contrattuale e desidera discutere una potenziale collaborazione. Per rendere il messaggio più credibile, l'e-mail afferma che è disponibile un documento protetto da esaminare e firmare. I destinatari vengono avvertiti che il documento scadrà entro 48 ore, creando un senso di urgenza volto a spingerli ad agire senza un'attenta valutazione.

Le email contengono un pulsante solitamente etichettato "Rivedi e firma il documento". Cliccando su questo pulsante non si apre un documento Adobe legittimo, bensì si viene reindirizzati a un sito web fraudolento controllato da criminali informatici.

La trappola del falso aggiornamento di Adobe

Dopo aver cliccato sul pulsante incorporato, le vittime vengono reindirizzate a un sito web progettato per assomigliare a una pagina ufficiale di Adobe Reader. La pagina fraudolenta afferma che il software Adobe Reader del visitatore è scaduto e deve essere aggiornato prima di poter accedere al documento.

Per avvalorare questo inganno, il sito avvia automaticamente il download di un file denominato "ScreenConnect.ClientSetup.msi", presentandolo come un aggiornamento Adobe necessario.

In realtà, il file scaricato non ha alcun collegamento con gli aggiornamenti di Adobe. Si tratta di un programma di installazione modificato contenente configurazioni dannose che servono agli obiettivi degli aggressori. L'aspetto convincente della pagina è pensato per ridurre i sospetti e incoraggiare le vittime ad eseguire il file scaricato.

Come il malware compromette i sistemi

Il file MSI scaricato è una versione infetta di ScreenConnect, una legittima applicazione per la gestione remota del desktop e dell'IT sviluppata da ConnectWise. Sebbene il software originale sia ampiamente utilizzato dai professionisti IT, i criminali informatici ne abusano inserendo le proprie impostazioni del server nel programma di installazione.

Una volta eseguito, il programma di installazione modificato stabilisce silenziosamente una connessione con l'infrastruttura controllata dagli aggressori. Ciò consente ai malintenzionati di accedere da remoto al sistema compromesso all'insaputa dell'utente.

Una volta stabilito l'accesso remoto, gli aggressori potrebbero essere in grado di:

• Visualizzare, copiare o eliminare i file memorizzati sul dispositivo.
• Rubare password salvate, informazioni finanziarie e altri dati sensibili.
• Installare malware aggiuntivo, inclusi ransomware e programmi per il furto di informazioni.
• Monitorare l'attività degli utenti e raccogliere informazioni riservate.

• Mantenere l'accesso a lungo termine al computer infetto.

Poiché il malware funziona come strumento di accesso remoto, le vittime potrebbero non accorgersi immediatamente di alcun segno di compromissione.

Perché queste email sono pericolose

Il pericolo principale di questa truffa risiede nella sua capacità di sfruttare la fiducia riposta in un marchio noto. Molti utenti hanno familiarità con le notifiche di Adobe Acrobat Sign e potrebbero non mettere in discussione l'autenticità di una richiesta di condivisione di documenti.

La combinazione di una formattazione dall'aspetto professionale, contenuti di carattere aziendale e avvisi di scadenza aumenta la probabilità che i destinatari clicchino sul link fornito. Una volta eseguito il programma di installazione, gli aggressori possono ottenere un controllo esteso sul sistema infetto, con conseguenti potenziali perdite finanziarie, furto di identità, violazioni dei dati o ulteriori infezioni da malware.

Le email di spam come meccanismi di diffusione del malware

Le campagne di email dannose rimangono uno dei metodi più comuni utilizzati per diffondere malware. I criminali informatici si affidano a messaggi ingannevoli per persuadere i destinatari ad aprire allegati pericolosi o a visitare siti web dannosi.

Gli allegati possono essere camuffati da file comuni come documenti, PDF, archivi compressi o script. In alcuni casi, gli utenti devono eseguire azioni aggiuntive, come l'abilitazione di macro o l'esecuzione di contenuti, prima che il processo di infezione abbia inizio.

I link contenuti nelle email di spam possono essere altrettanto pericolosi. Spesso reindirizzano gli utenti a siti web fraudolenti che scaricano automaticamente file dannosi o mostrano falsi inviti a installare software. Nella truffa "Adobe Acrobat - Secure Document", la catena di infezione si basa su una pagina di aggiornamento di Adobe contraffatta che distribuisce un programma di installazione infetto da trojan.

Segnali che un’e-mail potrebbe essere fraudolenta

Diversi segnali di allarme possono aiutare a identificare truffe come questa:

• Richieste inaspettate di condivisione di documenti da mittenti sconosciuti.
• Messaggi che creano un senso di urgenza tramite scadenze o avvisi.
• Richieste di download di aggiornamenti software tramite link contenuti nelle e-mail.
• Indirizzi del mittente verificati in modo inadeguato, che non corrispondono all'organizzazione dichiarata.
• Reindirizzamenti imprevisti a siti web che richiedono l'installazione di software.

Riconoscere questi indicatori può ridurre significativamente il rischio di cadere vittima di attacchi simili.

Cosa fare se il programma di installazione è stato eseguito

Chiunque abbia scaricato ed eseguito il file ScreenConnect.ClientSetup.msi dovrebbe presumere che il computer possa essere stato compromesso. È fondamentale intervenire immediatamente per limitare i potenziali danni.

È opportuno eseguire al più presto una scansione completa del sistema utilizzando una soluzione di sicurezza affidabile e aggiornata. Gli utenti dovrebbero inoltre valutare la possibilità di cambiare le password degli account importanti, soprattutto se le credenziali potrebbero essere state memorizzate nei browser o nei gestori di password del dispositivo interessato. Si raccomanda anche di monitorare i conti finanziari e i servizi online sensibili per individuare eventuali attività sospette.

Considerazioni finali

La truffa via email "Adobe Acrobat - Documento protetto" è una sofisticata campagna di diffusione di malware che si spaccia per Adobe Acrobat Sign per indurre le vittime a scaricare uno strumento di accesso remoto infetto da trojan. Le email affermano falsamente che un documento importante è in attesa di revisione e firma, mentre il sito web collegato presenta un falso aggiornamento di Adobe Reader progettato per installare malware.

I destinatari dovrebbero evitare di interagire con questi messaggi, astenersi dal scaricare i file che promuovono e cancellarli immediatamente. Mantenere la vigilanza nella gestione delle email inaspettate è una delle difese più efficaci contro le infezioni da malware e altre minacce informatiche.