Adobe Acrobat - Безбедна е-пошта са документима, вирусима и преварама путем е-поште

Превара путем имејла „Adobe Acrobat - Secure Document“ је злонамерна кампања спама креирана за дистрибуцију малвера. Лажне поруке се маскирају као обавештења од Adobe Acrobat Sign-а, покушавајући да убеде примаоце да су примили важан документ који захтева њихову пажњу.

Према имејлу, пошиљалац разматра организацију примаоца за будући уговорни пројекат и жели да разговара о потенцијалној сарадњи. Да би порука деловала веродостојније, у имејлу се тврди да је безбедан документ доступан за преглед и потписивање. Примаоци се упозоравају да ће документ истећи у року од 48 сати, стварајући осећај хитности са циљем да их притисне да делују без пажљивог разматрања.

Имејлови садрже дугме које је обично означено са „Прегледај и потпиши документ“. Клик на ово дугме не отвара легитиман Adobe документ. Уместо тога, преусмерава кориснике на лажну веб страницу коју контролишу сајбер криминалци.

Лажна замка за ажурирање Адобеа

Након што кликну на уграђено дугме, жртве се преусмеравају на веб локацију дизајнирану да подсећа на званичну страницу Adobe Reader-а. Лажна страница тврди да је посетиочев софтвер Adobe Reader-а истекао и да га је потребно ажурирати пре него што се документу може приступити.

Да би поткрепио ову обману, сајт аутоматски покреће преузимање датотеке под називом „ScreenConnect.ClientSetup.msi“, представљајући је као потребно ажурирање за Adobe.

У стварности, преузета датотека нема никакве везе са ажурирањима компаније Adobe. То је модификовани инсталатер који садржи злонамерне конфигурације које служе циљевима нападача. Убедљив изглед странице има за циљ да смањи сумњу и подстакне жртве да покрену преузету датотеку.

Како злонамерни софтвер угрожава системе

Преузета MSI датотека је тројанизована верзија ScreenConnect-а, легитимне апликације за удаљену радну површину и управљање ИТ-ом коју је развио ConnectWise. Иако оригинални софтвер широко користе ИТ стручњаци, сајбер криминалци га злоупотребљавају уграђујући сопствена подешавања сервера у инсталатер.

Једном покренут, модификовани инсталатер тихо успоставља везу са инфраструктуром коју контролише нападач. Ово омогућава актерима претње даљински приступ компромитованом систему без знања корисника.

Са успостављеним удаљеним приступом, нападачи могу бити у могућности да:

• Прегледајте, копирајте или обришите датотеке сачуване на уређају.
• Украдите сачуване лозинке, финансијске информације и друге осетљиве податке.
• Инсталирајте додатни злонамерни софтвер, укључујући ransomware и крадљивце информација.
• Пратите активности корисника и прикупљајте поверљиве информације.

• Одржавајте дугорочни приступ зараженом рачунару.

Пошто злонамерни софтвер функционише као алат за даљински приступ, жртве можда неће одмах приметити никакве знаке компромитовања.

Зашто су ови имејлови опасни

Главна опасност ове преваре лежи у њеној способности да злоупотреби поверење у добро познати бренд. Многи корисници су упознати са обавештењима Adobe Acrobat Sign-а и можда не доводе у питање аутентичност захтева за дељење докумената.

Комбинација професионалног форматирања, тематике везане за пословање и упозорења о истеку повећава вероватноћу да ће примаоци кликнути на дати линк. Након што се инсталатер покрене, нападачи могу стећи велику контролу над погођеним системом, што потенцијално може довести до финансијских губитака, крађе идентитета, кршења података или даљих инфекција злонамерним софтвером.

Нежељене е-поруке као механизми испоруке злонамерног софтвера

Злонамерне имејл кампање остају једна од најчешћих метода које се користе за дистрибуцију малвера. Сајбер криминалци се ослањају на обмањујуће поруке како би убедили примаоце да отворе опасне прилоге или посете злонамерне веб странице.

Прилози могу бити прикривени као обичне датотеке као што су документи, PDF-ови, компресоване архиве или скрипте. У неким случајевима, корисници морају да изврше додатне радње, као што је омогућавање макроа или извршавање садржаја, пре него што процес инфекције почне.

Линкови садржани у спам имејловима могу бити подједнако опасни. Често преусмеравају кориснике на лажне веб странице које аутоматски преузимају злонамерне датотеке или приказују лажне упите који подстичу жртве да инсталирају софтвер. У превари Adobe Acrobat - Secure Document, ланац инфекције се ослања на лажну страницу за ажурирање Adobe-а која испоручује инсталатер заражен тројанцем.

Знаци да је имејл можда лажан

Неколико упозоравајућих знакова може помоћи у идентификацији превара попут ове:

• Неочекивани захтеви за дељење докумената од непознатих пошиљалаца.
• Поруке које стварају хитну ситуацију кроз рокове истека или упозорења.
• Захтеви за преузимање ажурирања софтвера са линкова који се налазе у имејловима.
• Лоше верификоване адресе пошиљалаца које се не подударају са наведеном организацијом.
• Неочекивана преусмеравања на веб странице које захтевају инсталацију софтвера.

Препознавање ових индикатора може значајно смањити ризик да постанете жртва сличних напада.

Шта урадити ако је инсталатер покренут

Свако ко је преузео и покренуо датотеку ScreenConnect.ClientSetup.msi требало би да претпостави да је рачунар можда био угрожен. Неопходно је одмах деловати како би се ограничила потенцијална штета.

Требало би што пре извршити потпуно скенирање система коришћењем реномираног и ажурираног безбедносног решења. Корисници би такође требало да размотре промену лозинки за важне налоге, посебно ако су акредитиви можда сачувани у прегледачима или менаџерима лозинки на погођеном уређају. Такође се препоручује праћење финансијских налога и осетљивих онлајн сервиса због сумњивих активности.

Завршне мисли

Превара путем имејла „Adobe Acrobat - Secure Document“ је софистицирана кампања испоруке злонамерног софтвера која се лажно представља као Adobe Acrobat Sign како би намамила жртве да преузму алатку за даљински приступ заражену тројанцима. Имејлови лажно тврде да важан документ чека преглед и потпис, док повезана веб страница представља лажно ажурирање Adobe Reader-а дизајнирано за инсталирање злонамерног софтвера.

Примаоци би требало да избегавају интеракцију са овим порукама, да се уздрже од преузимања било којих датотека које промовишу и да их одмах обришу. Остајање опрезним при руковању неочекиваним имејловима једна је од најефикаснијих одбрана од инфекција злонамерним софтвером и других сајбер претњи.