Adobe Acrobat - เอกสารที่ปลอดภัย อีเมลไวรัส อีเมลหลอกลวง
การหลอกลวงทางอีเมล Adobe Acrobat - Secure Document เป็นแคมเปญสแปมที่เป็นอันตรายซึ่งสร้างขึ้นเพื่อแพร่กระจายมัลแวร์ ข้อความหลอกลวงเหล่านี้ปลอมตัวเป็นข้อความแจ้งเตือนจาก Adobe Acrobat Sign พยายามโน้มน้าวให้ผู้รับเชื่อว่าพวกเขาได้รับเอกสารสำคัญที่ต้องให้ความสนใจ
จากอีเมลดังกล่าว ผู้ส่งกำลังพิจารณาองค์กรของผู้รับสำหรับโครงการสัญญาในอนาคต และต้องการหารือเกี่ยวกับความร่วมมือที่เป็นไปได้ เพื่อให้ข้อความดูน่าเชื่อถือมากขึ้น อีเมลอ้างว่ามีเอกสารที่ปลอดภัยให้ตรวจสอบและลงนามได้ ผู้รับได้รับการเตือนว่าเอกสารจะหมดอายุภายใน 48 ชั่วโมง ซึ่งสร้างความรู้สึกเร่งด่วนเพื่อกดดันให้พวกเขาดำเนินการโดยไม่พิจารณาอย่างรอบคอบ
อีเมลเหล่านี้มักมีปุ่มที่มีข้อความว่า 'ตรวจสอบและลงนามในเอกสาร' การคลิกปุ่มนี้ไม่ได้เปิดเอกสาร Adobe ที่ถูกต้อง แต่จะนำผู้ใช้ไปยังเว็บไซต์ปลอมที่ควบคุมโดยอาชญากรไซเบอร์
สารบัญ
กับดักการอัปเดต Adobe ปลอม
หลังจากคลิกปุ่มที่ฝังไว้ เหยื่อจะถูกนำไปยังเว็บไซต์ที่ออกแบบมาให้คล้ายกับหน้าเว็บทางการของ Adobe Reader หน้าเว็บหลอกลวงนี้อ้างว่าซอฟต์แวร์ Adobe Reader ของผู้เข้าชมหมดอายุแล้วและต้องอัปเดตก่อนจึงจะสามารถเข้าถึงเอกสารได้
เพื่อสนับสนุนการหลอกลวงนี้ เว็บไซต์จะเริ่มดาวน์โหลดไฟล์ชื่อ 'ScreenConnect.ClientSetup.msi' โดยอัตโนมัติ โดยแสดงว่าเป็นโปรแกรมอัปเดต Adobe ที่จำเป็น
ในความเป็นจริง ไฟล์ที่ดาวน์โหลดมานั้นไม่มีส่วนเกี่ยวข้องกับการอัปเดตของ Adobe เลย มันเป็นโปรแกรมติดตั้งที่ถูกดัดแปลงซึ่งมีไฟล์กำหนดค่าที่เป็นอันตรายซึ่งตอบสนองวัตถุประสงค์ของผู้โจมตี การออกแบบหน้าเว็บที่ดูน่าเชื่อถือมีจุดประสงค์เพื่อลดความสงสัยและกระตุ้นให้เหยื่อเรียกใช้ไฟล์ที่ดาวน์โหลดมา
มัลแวร์บุกรุกระบบได้อย่างไร
ไฟล์ MSI ที่ดาวน์โหลดมาเป็นเวอร์ชันที่ถูกดัดแปลงด้วยมัลแวร์ของ ScreenConnect ซึ่งเป็นแอปพลิเคชันควบคุมระยะไกลและจัดการระบบไอทีที่ถูกต้องตามกฎหมาย พัฒนาโดย ConnectWise แม้ว่าซอฟต์แวร์ดั้งเดิมจะถูกใช้งานอย่างแพร่หลายโดยผู้เชี่ยวชาญด้านไอที แต่ผู้ร้ายทางไซเบอร์ได้นำไปใช้ในทางที่ผิดโดยการฝังการตั้งค่าเซิร์ฟเวอร์ของตนเองลงในตัวติดตั้ง
เมื่อเรียกใช้โปรแกรมติดตั้งที่ถูกดัดแปลงแล้ว มันจะสร้างการเชื่อมต่อกับโครงสร้างพื้นฐานที่ผู้โจมตีควบคุมอยู่โดยไม่ให้ผู้ใช้รู้ตัว ซึ่งจะทำให้ผู้โจมตีสามารถเข้าถึงระบบที่ถูกบุกรุกจากระยะไกลได้โดยที่ผู้ใช้ไม่รู้ตัว
เมื่อสามารถเข้าถึงจากระยะไกลได้แล้ว ผู้โจมตีอาจสามารถทำสิ่งต่อไปนี้ได้:
- ดู คัดลอก หรือลบไฟล์ที่จัดเก็บไว้ในอุปกรณ์
- ขโมยรหัสผ่านที่บันทึกไว้ ข้อมูลทางการเงิน และข้อมูลสำคัญอื่นๆ
- ติดตั้งมัลแวร์เพิ่มเติม รวมถึงแรนซัมแวร์และโปรแกรมขโมยข้อมูล
เนื่องจากมัลแวร์ทำงานในรูปแบบเครื่องมือเข้าถึงระยะไกล เหยื่ออาจไม่สังเกตเห็นสัญญาณการถูกโจมตีในทันที
เหตุใดอีเมลเหล่านี้จึงอันตราย
อันตรายหลักของกลโกงนี้อยู่ที่ความสามารถในการใช้ประโยชน์จากความไว้วางใจในแบรนด์ที่เป็นที่รู้จักกันดี ผู้ใช้จำนวนมากคุ้นเคยกับการแจ้งเตือนของ Adobe Acrobat Sign และอาจไม่ตั้งคำถามถึงความถูกต้องของคำขอแชร์เอกสาร
การผสมผสานระหว่างรูปแบบที่ดูเป็นมืออาชีพ เนื้อหาที่เกี่ยวข้องกับธุรกิจ และคำเตือนเรื่องวันหมดอายุ จะเพิ่มโอกาสที่ผู้รับจะคลิกลิงก์ที่ให้มา เมื่อโปรแกรมติดตั้งทำงานแล้ว ผู้โจมตีสามารถควบคุมระบบที่ได้รับผลกระทบได้อย่างกว้างขวาง ซึ่งอาจนำไปสู่ความเสียหายทางการเงิน การขโมยข้อมูลส่วนบุคคล การรั่วไหลของข้อมูล หรือการติดมัลแวร์เพิ่มเติมได้
อีเมลสแปมเป็นกลไกในการส่งมัลแวร์
การส่งอีเมลหลอกลวงยังคงเป็นหนึ่งในวิธีการที่ใช้กันมากที่สุดในการแพร่กระจายมัลแวร์ อาชญากรไซเบอร์อาศัยข้อความหลอกลวงเพื่อชักจูงให้ผู้รับเปิดไฟล์แนบที่เป็นอันตรายหรือเข้าชมเว็บไซต์ที่เป็นอันตราย
ไฟล์แนบอาจถูกปลอมแปลงเป็นไฟล์ทั่วไป เช่น เอกสาร PDF ไฟล์บีบอัด หรือสคริปต์ ในบางกรณี ผู้ใช้ต้องดำเนินการเพิ่มเติม เช่น การเปิดใช้งานมาโครหรือการเรียกใช้เนื้อหา ก่อนที่กระบวนการติดไวรัสจะเริ่มต้นขึ้น
ลิงก์ที่อยู่ในอีเมลสแปมก็อันตรายไม่แพ้กัน โดยมักจะนำผู้ใช้ไปยังเว็บไซต์หลอกลวงที่ดาวน์โหลดไฟล์ที่เป็นอันตรายโดยอัตโนมัติ หรือแสดงข้อความแจ้งเตือนปลอมเพื่อชักจูงให้เหยื่อติดตั้งซอฟต์แวร์ ในกรณีของกลโกง Adobe Acrobat - Secure Document นั้น การแพร่กระจายของไวรัสอาศัยหน้าเว็บอัปเดต Adobe ปลอมที่ส่งตัวติดตั้งที่มีมัลแวร์แฝงอยู่
สัญญาณที่บ่งชี้ว่าอีเมลอาจเป็นการหลอกลวง
มีสัญญาณเตือนหลายอย่างที่สามารถช่วยระบุการหลอกลวงแบบนี้ได้:
- คำขอแชร์เอกสารที่ไม่คาดคิดจากผู้ส่งที่ไม่รู้จัก
- ข้อความที่สร้างความเร่งด่วนผ่านกำหนดเวลาหมดอายุหรือคำเตือน
- คำขอให้ดาวน์โหลดการอัปเดตซอฟต์แวร์จากลิงก์ที่อยู่ในอีเมล
- ที่อยู่ผู้ส่งที่ตรวจสอบไม่ครบถ้วนและไม่ตรงกับองค์กรที่กล่าวอ้าง
- มีการเปลี่ยนเส้นทางไปยังเว็บไซต์ที่ขอให้ติดตั้งซอฟต์แวร์โดยไม่คาดคิด
การรู้จักสังเกตตัวบ่งชี้เหล่านี้สามารถช่วยลดความเสี่ยงในการตกเป็นเหยื่อของการโจมตีในลักษณะเดียวกันได้อย่างมาก
ควรทำอย่างไรหากโปรแกรมติดตั้งทำงานเสร็จแล้ว
ผู้ใดที่ดาวน์โหลดและเรียกใช้ไฟล์ ScreenConnect.ClientSetup.msi ควรสันนิษฐานว่าคอมพิวเตอร์ของตนอาจได้รับผลกระทบจากการโจมตี การดำเนินการแก้ไขโดยทันทีเป็นสิ่งสำคัญเพื่อจำกัดความเสียหายที่อาจเกิดขึ้น
ควรทำการสแกนระบบทั้งหมดโดยใช้โปรแกรมรักษาความปลอดภัยที่น่าเชื่อถือและอัปเดตอย่างสม่ำเสมอโดยเร็วที่สุด ผู้ใช้ควรพิจารณาเปลี่ยนรหัสผ่านสำหรับบัญชีสำคัญ โดยเฉพาะอย่างยิ่งหากข้อมูลประจำตัวอาจถูกจัดเก็บไว้ในเบราว์เซอร์หรือโปรแกรมจัดการรหัสผ่านบนอุปกรณ์ที่ได้รับผลกระทบ การตรวจสอบบัญชีทางการเงินและบริการออนไลน์ที่สำคัญเพื่อหาความผิดปกติก็เป็นสิ่งแนะนำเช่นกัน
ข้อคิดส่งท้าย
การหลอกลวงทางอีเมล Adobe Acrobat - Secure Document เป็นแคมเปญการส่งมัลแวร์ที่ซับซ้อน ซึ่งปลอมตัวเป็น Adobe Acrobat Sign เพื่อล่อลวงเหยื่อให้ดาวน์โหลดเครื่องมือเข้าถึงระยะไกลที่มีมัลแวร์แฝงอยู่ อีเมลเหล่านี้อ้างอย่างผิดๆ ว่ามีเอกสารสำคัญรอการตรวจสอบและลงนาม ในขณะที่เว็บไซต์ที่เชื่อมโยงนั้นแสดงการอัปเดต Adobe Reader ปลอมที่ออกแบบมาเพื่อติดตั้งมัลแวร์
ผู้รับควรหลีกเลี่ยงการโต้ตอบกับข้อความเหล่านี้ งดเว้นการดาวน์โหลดไฟล์ใด ๆ ที่ข้อความเหล่านั้นโปรโมต และลบข้อความเหล่านั้นทันที การระมัดระวังเมื่อได้รับอีเมลที่ไม่คาดคิดเป็นหนึ่งในวิธีการป้องกันที่มีประสิทธิภาพที่สุดต่อการติดมัลแวร์และภัยคุกคามทางไซเบอร์อื่น ๆ
System Messages
The following system messages may be associated with Adobe Acrobat - เอกสารที่ปลอดภัย อีเมลไวรัส อีเมลหลอกลวง:
Subject: E-docsignatureScreenClientSetupServer.programDocumentReview8291 |