Adobe Acrobat - Email chứa virus bảo mật, email lừa đảo.

Chiêu trò lừa đảo qua email "Adobe Acrobat - Secure Document" là một chiến dịch spam độc hại được tạo ra để phát tán phần mềm độc hại. Các tin nhắn giả mạo này trông giống như thông báo từ Adobe Acrobat Sign, cố gắng thuyết phục người nhận rằng họ đã nhận được một tài liệu quan trọng cần được chú ý.

Theo nội dung email, người gửi đang xem xét hợp tác với tổ chức của người nhận cho một dự án hợp đồng trong tương lai và muốn thảo luận về khả năng hợp tác. Để tăng tính đáng tin cậy, email khẳng định có một tài liệu bảo mật để xem xét và ký tên. Người nhận được cảnh báo rằng tài liệu sẽ hết hạn trong vòng 48 giờ, tạo ra cảm giác khẩn cấp nhằm gây áp lực buộc họ phải hành động mà không cần cân nhắc kỹ lưỡng.

Các email này thường chứa một nút có nhãn "Xem xét và ký tài liệu". Nhấp vào nút này không mở tài liệu Adobe hợp lệ. Thay vào đó, nó chuyển hướng người dùng đến một trang web lừa đảo do tội phạm mạng điều khiển.

Cạm bẫy cập nhật Adobe giả mạo

Sau khi nhấp vào nút được nhúng, nạn nhân sẽ được chuyển đến một trang web được thiết kế giống với trang chính thức của Adobe Reader. Trang web lừa đảo này thông báo rằng phần mềm Adobe Reader của người dùng đã hết hạn và cần được cập nhật trước khi có thể truy cập tài liệu.

Để củng cố hành vi lừa đảo này, trang web tự động bắt đầu tải xuống một tệp có tên 'ScreenConnect.ClientSetup.msi', hiển thị nó như một bản cập nhật Adobe cần thiết.

Trên thực tế, tập tin đã tải xuống không liên quan gì đến các bản cập nhật của Adobe. Đó là một trình cài đặt đã được sửa đổi chứa các cấu hình độc hại phục vụ mục đích của kẻ tấn công. Giao diện trang web trông rất đáng tin cậy nhằm mục đích giảm bớt sự nghi ngờ và khuyến khích nạn nhân chạy tập tin đã tải xuống.

Cách phần mềm độc hại xâm nhập hệ thống

Tệp MSI được tải xuống là phiên bản bị nhiễm mã độc của ScreenConnect, một ứng dụng quản lý CNTT và điều khiển máy tính từ xa hợp pháp do ConnectWise phát triển. Mặc dù phần mềm gốc được các chuyên gia CNTT sử dụng rộng rãi, nhưng tội phạm mạng đã lợi dụng nó bằng cách nhúng các thiết lập máy chủ của riêng chúng vào trình cài đặt.

Sau khi được thực thi, trình cài đặt đã được sửa đổi sẽ âm thầm thiết lập kết nối với cơ sở hạ tầng do kẻ tấn công kiểm soát. Điều này cho phép các tác nhân đe dọa truy cập từ xa vào hệ thống bị xâm nhập mà người dùng không hề hay biết.

Khi đã thiết lập được quyền truy cập từ xa, kẻ tấn công có thể thực hiện các thao tác sau:

• Xem, sao chép hoặc xóa các tệp được lưu trữ trên thiết bị.
• Đánh cắp mật khẩu đã lưu, thông tin tài chính và các dữ liệu nhạy cảm khác.
• Cài đặt thêm phần mềm độc hại, bao gồm cả phần mềm tống tiền và phần mềm đánh cắp thông tin.
• Theo dõi hoạt động của người dùng và thu thập thông tin mật.

• Duy trì quyền truy cập lâu dài vào máy tính bị nhiễm virus.

Vì phần mềm độc hại hoạt động như một công cụ truy cập từ xa, nạn nhân có thể không nhận thấy ngay bất kỳ dấu hiệu nào của việc bị xâm nhập.

Vì sao những email này lại nguy hiểm

Mối nguy hiểm chính của trò lừa đảo này nằm ở khả năng lợi dụng lòng tin vào một thương hiệu nổi tiếng. Nhiều người dùng đã quen thuộc với các thông báo của Adobe Acrobat Sign và có thể không nghi ngờ tính xác thực của yêu cầu chia sẻ tài liệu.

Sự kết hợp giữa định dạng chuyên nghiệp, nội dung liên quan đến kinh doanh và cảnh báo hết hạn làm tăng khả năng người nhận sẽ nhấp vào liên kết được cung cấp. Sau khi trình cài đặt được thực thi, kẻ tấn công có thể giành quyền kiểm soát rộng rãi đối với hệ thống bị ảnh hưởng, có khả năng dẫn đến thiệt hại tài chính, đánh cắp danh tính, rò rỉ dữ liệu hoặc lây nhiễm phần mềm độc hại khác.

Thư rác đóng vai trò như một cơ chế phát tán phần mềm độc hại

Các chiến dịch email độc hại vẫn là một trong những phương pháp phổ biến nhất được sử dụng để phát tán phần mềm độc hại. Tội phạm mạng dựa vào các tin nhắn lừa đảo để thuyết phục người nhận mở các tệp đính kèm nguy hiểm hoặc truy cập các trang web độc hại.

Các tệp đính kèm có thể được ngụy trang dưới dạng các tệp thông thường như tài liệu, PDF, tệp lưu trữ nén hoặc tập lệnh. Trong một số trường hợp, người dùng phải thực hiện thêm các thao tác, chẳng hạn như bật macro hoặc thực thi nội dung, trước khi quá trình lây nhiễm bắt đầu.

Các liên kết trong email rác cũng nguy hiểm không kém. Chúng thường chuyển hướng người dùng đến các trang web lừa đảo tự động tải xuống các tệp độc hại hoặc hiển thị các thông báo giả mạo khuyến khích nạn nhân cài đặt phần mềm. Trong vụ lừa đảo Adobe Acrobat - Secure Document, chuỗi lây nhiễm dựa trên một trang cập nhật Adobe giả mạo cung cấp trình cài đặt chứa mã độc Trojan.

Dấu hiệu cho thấy email có thể là giả mạo

Có một số dấu hiệu cảnh báo có thể giúp nhận biết các vụ lừa đảo như thế này:

• Yêu cầu chia sẻ tài liệu bất ngờ từ người gửi không xác định.
• Những thông điệp tạo ra sự khẩn cấp thông qua thời hạn hoặc cảnh báo.
• Yêu cầu tải xuống các bản cập nhật phần mềm từ các liên kết có trong email.
• Địa chỉ người gửi được xác minh kém, không khớp với tổ chức được khai báo.
• Chuyển hướng không mong muốn đến các trang web yêu cầu cài đặt phần mềm.

Nhận biết những dấu hiệu này có thể giúp giảm đáng kể nguy cơ trở thành nạn nhân của các cuộc tấn công tương tự.

Phải làm gì nếu trình cài đặt đã được thực thi?

Bất kỳ ai đã tải xuống và chạy tệp ScreenConnect.ClientSetup.msi đều nên cho rằng máy tính của mình có thể đã bị xâm nhập. Hành động ngay lập tức là điều cần thiết để hạn chế thiệt hại tiềm tàng.

Nên tiến hành quét toàn bộ hệ thống bằng một giải pháp bảo mật uy tín và cập nhật càng sớm càng tốt. Người dùng cũng nên cân nhắc thay đổi mật khẩu cho các tài khoản quan trọng, đặc biệt nếu thông tin đăng nhập có thể đã được lưu trữ trong trình duyệt hoặc trình quản lý mật khẩu trên thiết bị bị ảnh hưởng. Việc theo dõi các tài khoản tài chính và các dịch vụ trực tuyến nhạy cảm để phát hiện hoạt động đáng ngờ cũng được khuyến nghị.

Lời kết

Chiêu trò lừa đảo qua email "Adobe Acrobat - Secure Document" là một chiến dịch phát tán phần mềm độc hại tinh vi, giả mạo Adobe Acrobat Sign để dụ dỗ nạn nhân tải xuống công cụ truy cập từ xa bị nhiễm mã độc. Các email này tuyên bố sai sự thật rằng một tài liệu quan trọng đang chờ được xem xét và ký tên, trong khi trang web được liên kết lại hiển thị bản cập nhật Adobe Reader giả mạo được thiết kế để cài đặt phần mềm độc hại.

Người nhận nên tránh tương tác với những tin nhắn này, không tải xuống bất kỳ tệp nào chúng quảng cáo và xóa chúng ngay lập tức. Luôn cảnh giác khi xử lý email bất ngờ là một trong những biện pháp phòng vệ hiệu quả nhất chống lại sự lây nhiễm phần mềm độc hại và các mối đe dọa mạng khác.