Adobe Acrobat — вирус, попавший в защищенную электронную почту, мошенничество с электронными письмами

Афера с электронными письмами типа «Adobe Acrobat - Secure Document» — это вредоносная спам-кампания, созданная для распространения вредоносного ПО. Мошеннические сообщения маскируются под уведомления от Adobe Acrobat Sign, пытаясь убедить получателей в том, что они получили важный документ, требующий их внимания.

Согласно электронному письму, отправитель рассматривает организацию получателя в качестве потенциального партнера для будущего контрактного проекта и желает обсудить возможное сотрудничество. Чтобы придать сообщению большую убедительность, в письме утверждается, что для ознакомления и подписания доступен защищенный документ. Получателей предупреждают, что срок действия документа истечет через 48 часов, создавая ощущение срочности, призванное подтолкнуть их к действиям без тщательного обдумывания.

В электронных письмах обычно присутствует кнопка с надписью «Просмотреть и подписать документ». Нажатие на эту кнопку не открывает легитимный документ Adobe. Вместо этого оно перенаправляет пользователей на мошеннический веб-сайт, контролируемый киберпреступниками.

Ловушка фальшивого обновления Adobe

После нажатия на встроенную кнопку жертвы попадают на веб-сайт, оформленный так, будто он имитирует официальную страницу Adobe Reader. На мошеннической странице утверждается, что срок действия установленной программы Adobe Reader истек и ее необходимо обновить, прежде чем можно будет получить доступ к документу.

Для осуществления этого обмана сайт автоматически инициирует загрузку файла с именем «ScreenConnect.ClientSetup.msi», представляя его как необходимое обновление Adobe.

В действительности загруженный файл не имеет никакого отношения к обновлениям Adobe. Это модифицированный установщик, содержащий вредоносные конфигурации, которые служат целям злоумышленников. Убедительный внешний вид страницы призван снизить подозрения и побудить жертв запустить загруженный файл.

Как вредоносное ПО компрометирует системы

Загруженный MSI-файл представляет собой троянизированную версию ScreenConnect, легитимного приложения для удаленного доступа к рабочему столу и управления ИТ-инфраструктурой, разработанного компанией ConnectWise. Хотя оригинальное программное обеспечение широко используется ИТ-специалистами, киберпреступники злоупотребляют им, внедряя собственные настройки сервера в установщик.

После запуска модифицированный установщик незаметно устанавливает соединение с инфраструктурой, контролируемой злоумышленниками. Это предоставляет злоумышленникам удаленный доступ к скомпрометированной системе без ведома пользователя.

При установлении удалённого доступа злоумышленники могут:

• Просматривайте, копируйте или удаляйте файлы, хранящиеся на устройстве.
• Похищение сохраненных паролей, финансовой информации и других конфиденциальных данных.
• Установите дополнительное вредоносное ПО, включая программы-вымогатели и программы для кражи информации.

Поскольку вредоносное ПО функционирует как инструмент удаленного доступа, жертвы могут не сразу заметить признаки компрометации.

Почему эти электронные письма опасны

Основная опасность этой мошеннической схемы заключается в её способности использовать доверие к известному бренду. Многие пользователи знакомы с уведомлениями Adobe Acrobat Sign и могут не сомневаться в подлинности запроса на обмен документами.

Сочетание профессионального форматирования, деловой тематики и предупреждений об истечении срока действия повышает вероятность того, что получатели перейдут по предоставленной ссылке. После запуска установщика злоумышленники могут получить полный контроль над затронутой системой, что потенциально может привести к финансовым потерям, краже личных данных, утечке информации или дальнейшему заражению вредоносным ПО.

Спам-письма как механизмы распространения вредоносного ПО.

Рассылка вредоносных электронных писем остается одним из наиболее распространенных методов распространения вредоносного ПО. Киберпреступники используют обманчивые сообщения, чтобы убедить получателей либо открыть опасные вложения, либо посетить вредоносные веб-сайты.

Вложения могут быть замаскированы под обычные файлы, такие как документы, PDF-файлы, сжатые архивы или скрипты. В некоторых случаях пользователям необходимо выполнить дополнительные действия, например, включить макросы или запустить выполнение контента, прежде чем начнется процесс заражения.

Ссылки в спам-письмах могут быть не менее опасными. Они часто перенаправляют пользователей на мошеннические веб-сайты, которые автоматически загружают вредоносные файлы или отображают поддельные запросы, побуждающие жертв установить программное обеспечение. В мошеннической схеме Adobe Acrobat - Secure Document цепочка заражения основана на поддельной странице обновления Adobe, которая предоставляет троянизированный установщик.

Признаки того, что электронное письмо может быть мошенническим.

Несколько предупреждающих признаков помогут распознать подобные мошеннические схемы:

• Неожиданные запросы на обмен документами от неизвестных отправителей.
• Сообщения, создающие ощущение срочности посредством указания сроков истечения или предупреждений.
• Запросы на загрузку обновлений программного обеспечения по ссылкам, содержащимся в электронных письмах.
• Плохо подтвержденные адреса отправителей, не соответствующие заявленной организации.
• Неожиданные перенаправления на веб-сайты, запрашивающие установку программного обеспечения.

Распознавание этих признаков может значительно снизить риск стать жертвой подобных нападений.

Что делать, если программа установки была запущена?

Всем, кто скачал и запустил файл ScreenConnect.ClientSetup.msi, следует предположить, что их компьютер мог быть взломан. Необходимы незамедлительные действия для минимизации потенциального ущерба.

Необходимо как можно скорее провести полное сканирование системы с использованием надежного и современного решения для обеспечения безопасности. Пользователям также следует подумать о смене паролей для важных учетных записей, особенно если учетные данные могли храниться в браузерах или менеджерах паролей на затронутом устройстве. Также рекомендуется отслеживать подозрительную активность в финансовых учетных записях и конфиденциальных онлайн-сервисах.

Заключительные мысли

Мошенническая схема с электронными письмами «Adobe Acrobat - Secure Document» — это изощренная кампания по распространению вредоносного ПО, которая имитирует Adobe Acrobat Sign, чтобы заманить жертв в загрузку троянизированного инструмента удаленного доступа. В электронных письмах ложно утверждается, что важный документ ожидает проверки и подписи, а на связанном веб-сайте предлагается поддельное обновление Adobe Reader, предназначенное для установки вредоносного ПО.

Получателям следует избегать взаимодействия с этими сообщениями, воздерживаться от загрузки любых файлов, которые они рекламируют, и немедленно удалять их. Сохранение бдительности при обработке неожиданных электронных писем — одна из наиболее эффективных мер защиты от вредоносных программ и других киберугроз.