Adobe Acrobat - Вірус, що запобігає шахрайству з електронною поштою, та безпечні документи

Шахрайство з електронною поштою Adobe Acrobat — Secure Document — це шкідлива спам-кампанія, створена для розповсюдження шкідливого програмного забезпечення. Шахрайські повідомлення маскуються під сповіщення від Adobe Acrobat Sign, намагаючись переконати одержувачів, що вони отримали важливий документ, який потребує їхньої уваги.

Згідно з електронним листом, відправник розглядає організацію одержувача для майбутнього контрактного проєкту та бажає обговорити потенційну співпрацю. Щоб повідомлення виглядало більш достовірним, в електронному листі стверджується, що для перегляду та підпису доступний захищений документ. Одержувачів попереджають, що термін дії документа закінчується протягом 48 годин, що створює відчуття терміновості, спрямоване на те, щоб змусити їх діяти без ретельного обмірковування.

Електронні листи містять кнопку, яка зазвичай має напис «Переглянути та підписати документ». Натискання цієї кнопки не відкриває легітимний документ Adobe. Натомість вона перенаправляє користувачів на шахрайський веб-сайт, контрольований кіберзлочинцями.

Фальшива пастка оновлень Adobe

Після натискання вбудованої кнопки жертви потрапляють на веб-сайт, розроблений під виглядом офіційної сторінки Adobe Reader. На шахрайській сторінці стверджується, що термін дії програмного забезпечення Adobe Reader відвідувача закінчився і його необхідно оновити, перш ніж отримати доступ до документа.

Щоб підтвердити цей обман, сайт автоматично ініціює завантаження файлу з назвою «ScreenConnect.ClientSetup.msi», представляючи його як необхідне оновлення Adobe.

Насправді, завантажений файл не має жодного зв'язку з оновленнями Adobe. Це модифікований інсталятор, що містить шкідливі конфігурації, що служать цілям зловмисників. Переконливий вигляд сторінки покликаний зменшити підозри та спонукати жертв запустити завантажений файл.

Як шкідливе програмне забезпечення компрометує системи

Завантажений MSI-файл є троянською версією ScreenConnect, легітимного застосунку для віддаленого робочого столу та управління ІТ, розробленого ConnectWise. Хоча оригінальне програмне забезпечення широко використовується ІТ-фахівцями, кіберзлочинці зловживають ним, вбудовуючи власні налаштування сервера в інсталятор.

Після запуску модифікований інсталятор непомітно встановлює з'єднання з інфраструктурою, контрольованою зловмисником. Це надає зловмисникам віддалений доступ до скомпрометованої системи без відома користувача.

Завдяки встановленню віддаленого доступу зловмисники можуть:

• Переглядайте, копіюйте або видаляйте файли, що зберігаються на пристрої.
• Крадіжка збережених паролів, фінансової інформації та інших конфіденційних даних.
• Встановлювати додаткові шкідливі програми, включаючи програми-вимагачі та викрадачів інформації.

Оскільки шкідливе програмне забезпечення функціонує як інструмент віддаленого доступу, жертви можуть не одразу помітити жодних ознак компрометації.

Чому ці електронні листи небезпечні

Основна небезпека цієї афери полягає в її здатності використовувати довіру до відомого бренду. Багато користувачів знайомі зі сповіщеннями Adobe Acrobat Sign і можуть не сумніватися в справжністі запиту на обмін документами.

Поєднання професійного форматування, тематики, пов’язаної з бізнесом, та попереджень про закінчення терміну дії збільшує ймовірність того, що одержувачі натиснуть на надане посилання. Після запуску інсталятора зловмисники можуть отримати широкий контроль над ураженою системою, що потенційно може призвести до фінансових втрат, крадіжки особистих даних, витоків даних або подальших заражень шкідливим програмним забезпеченням.

Спам-листи як механізми доставки шкідливого програмного забезпечення

Шкідливі електронні розсилки залишаються одним із найпоширеніших методів розповсюдження шкідливого програмного забезпечення. Кіберзлочинці покладаються на оманливі повідомлення, щоб переконати одержувачів відкрити небезпечні вкладення або відвідати шкідливі вебсайти.

Вкладення можуть бути замасковані під звичайні файли, такі як документи, PDF-файли, стиснуті архіви або скрипти. У деяких випадках користувачі повинні виконати додаткові дії, такі як увімкнення макросів або виконання вмісту, перш ніж розпочнеться процес зараження.

Посилання, що містяться у спам-листах, можуть бути однаково небезпечними. Вони часто перенаправляють користувачів на шахрайські веб-сайти, які автоматично завантажують шкідливі файли або відображають фальшиві запити, що заохочують жертв встановлювати програмне забезпечення. У шахрайстві Adobe Acrobat – Secure Document ланцюг зараження спирається на підроблену сторінку оновлення Adobe, яка надає троянську програму встановлення.

Ознаки того, що електронний лист може бути шахрайським

Кілька попереджувальних ознак можуть допомогти розпізнати такі шахрайства:

• Неочікувані запити на спільний доступ до документів від невідомих відправників.
• Повідомлення, що створюють терміновість через терміни закінчення терміну дії або попередження.
• Запити на завантаження оновлень програмного забезпечення за посиланнями, що містяться в електронних листах.
• Погано перевірені адреси відправників, які не відповідають заявленій організації.
• Неочікувані перенаправлення на веб-сайти, що запитують встановлення програмного забезпечення.

Розпізнавання цих ознак може значно зменшити ризик стати жертвою подібних атак.

Що робити, якщо інсталятор було виконано

Будь-хто, хто завантажив та запустив файл ScreenConnect.ClientSetup.msi, повинен припустити, що комп’ютер міг бути скомпрометований. Негайні дії є важливими для обмеження потенційної шкоди.

Слід якомога швидше виконати повне сканування системи за допомогою надійного та актуального рішення безпеки. Користувачам також слід розглянути можливість зміни паролів для важливих облікових записів, особливо якщо облікові дані могли бути збережені в браузерах або менеджерах паролів на ураженому пристрої. Також рекомендується моніторити фінансові облікові записи та конфіденційні онлайн-сервіси на предмет підозрілої активності.

Заключні думки

Шахрайство електронною поштою Adobe Acrobat — Secure Document — це складна кампанія з розповсюдження шкідливого програмного забезпечення, яка видає себе за Adobe Acrobat Sign, щоб спонукати жертв завантажити троянську програму для віддаленого доступу. В електронних листах неправдиво стверджується, що важливий документ очікує на перевірку та підпис, тоді як на веб-сайті, на який наведено посилання, представлено фальшиве оновлення Adobe Reader, призначене для встановлення шкідливого програмного забезпечення.

Одержувачам слід уникати взаємодії з цими повідомленнями, утримуватися від завантаження будь-яких файлів, які вони просувають, та негайно видаляти їх. Пильність під час обробки неочікуваних електронних листів є одним із найефективніших захистів від заражень шкідливим програмним забезпеченням та інших кіберзагроз.