Adobe’den bir e-posta gelirse ve dijital imza isterse, bunda kötü bir şey olamaz – yeni keşfedilen bir kötü amaçlı yazılım dolandırıcılığının potansiyel kurbanları kesinlikle öyle düşünmelidir. Antivirüs şirketi Avast tarafından bildirildiği üzere siber suçlular, kurbanlarına güvenilir görünen e-postalar göndermek için Adobe Sign bulut hizmetini kötüye kullandı. Ancak, sonuçta, alıcılar bir kötü amaçlı yazılım indirir.
Acrobat Sign, kayıtlı kullanıcıların herhangi bir alıcıya belgeler için imza istekleri göndermesine olanak tanıyan bir bulut hizmetidir. Adobe Sign, belgeye (PDF, Word belgeleri, HTML dosyaları ve daha fazlası) bağlantı içeren bir e-posta oluşturur ve alıcıya gönderir. Belgeleri doğrudan Adobe barındırır, Avast’ı yeni dolandırıcılıkla ilgili bir blog gönderisinde açıklar. Gönderenler, postaya yerleşik metin de ekleyebilir. Siber suçlular buradan kolayca başlayabilir.
Kötü amaçlı yazılım dolandırıcılığı: Gönderici olarak Adobe
Avast’ın analiz edebildiği e-postalar doğrudan [email protected] meşru Adobe adresinden geldi, ancak görüntülenen ad değiştirildi. Postadaki “İncele ve imzala” düğmesi, adresinde Adobe’nin bulut depolamasına bir bağlantı açar. eu1.documents.adobe.com/public/. Bu aynı zamanda yasal ve şüpheli olmayan bir adrestir. Siber suçlular tarafından oraya yüklenen belge, kurbanlara imzalanacak içeriğe erişimleri olduğu izlenimini vermeyi amaçlayan başka bir bağlantı içeriyor.
Bağlantıya tıklamak artık kurbanları sabit kodlanmış bir sözde Captcha içeren başka bir web sitesine yönlendiriyor. Ancak, doğru karakter dizisinin girilip gönderilmesi koşuluyla site, Redline Trojan’ın bir varyantını içeren bir ZIP dosyası döndürür. Programcıları onu şifreleri, kripto cüzdanlarını ve daha fazlasını çalmak için kullanmak istiyor.
Spesifik örnekte, saldırganlar özellikle kurbanı seçti. Yüzbinlerce abonesi olan bir YouTube kanal sahibiydi, bu nedenle kötü amaçlı yazılım e-postasındaki uydurma hikaye kurbana çok iyi uyuyor. Avast’a göre, alıcı e-postayı biraz “kimlik hırsızı” buldu ve bu nedenle bağlantıya tıklamadı. Saldırganlar, başka bir Sign hizmeti aracılığıyla başlayan başka bir girişimde bulundu, ancak sonunda kurbanı kötü amaçlı kodla neşelendirmek için Adobe Sign aracılığıyla tekrar denedi.
Kötü amaçlı yazılım dolandırıcılığı, Adobe’nin Sign Cloud hizmetini kötüye kullanır. Nihai olarak kötü niyetli bağlantılara sahip belgeleri barındırır ve saldırganlar adına güvenilir görünen e-postalar gönderir.
(Resim: Avast/Blog)
Dolandırıcılık haindir. Adobe e-postaları ve Adobe etki alanları, birçok koruma ürünü tarafından güvenilir olarak sınıflandırılabilir. Bu tür e-postaların alıcıları ayrıca resmi Adobe adresine herhangi bir süslü adresten daha fazla güvenirler. Saldırganlar, ZIP dosyasındaki kötü amaçlı yazılımın boyutunu 400 megabaytın üzerine çıkardı; esasen sıfır dolguludurlar. Buradaki fikir, muhtemelen birçok virüs tarayıcının taramaları dosyanın bir kısmıyla sınırlandırması veya büyük dosyalarda farklı davranmasıdır. Beceriksiz de olsa başka bir tespitten kaçma girişimi.
Avast, gözlemlenen saldırıyı potansiyel kurbanları hedef alan yeni bir teknik olarak görüyor. Araştırmacılar bu saldırıyı yalnızca gözlemleseler de, bunun yakında popüler bir dolandırıcılık haline geleceğine inanıyorlar. Bazı kötü amaçlı yazılım filtrelerini atlar ve böylece daha fazla potansiyel kurbana ulaşır, bu da onu çekici kılar.
Güvenilir e-postalar, siber suçlular tarafından potansiyel kurbanlara kötü amaçlı yazılım yerleştirmek için kullanılan yaygın bir araçtır. Örneğin, kısa süre önce geri dönen Emotet Truva Atı, alıcıları kötü amaçlı yazılım çalıştırmaları için kandırmak için artık OneNote dosyalarını e-posta ekleri olarak kullanıyor.
(dmk)
Haberin Sonu
Acrobat Sign, kayıtlı kullanıcıların herhangi bir alıcıya belgeler için imza istekleri göndermesine olanak tanıyan bir bulut hizmetidir. Adobe Sign, belgeye (PDF, Word belgeleri, HTML dosyaları ve daha fazlası) bağlantı içeren bir e-posta oluşturur ve alıcıya gönderir. Belgeleri doğrudan Adobe barındırır, Avast’ı yeni dolandırıcılıkla ilgili bir blog gönderisinde açıklar. Gönderenler, postaya yerleşik metin de ekleyebilir. Siber suçlular buradan kolayca başlayabilir.
Kötü amaçlı yazılım dolandırıcılığı: Gönderici olarak Adobe
Avast’ın analiz edebildiği e-postalar doğrudan [email protected] meşru Adobe adresinden geldi, ancak görüntülenen ad değiştirildi. Postadaki “İncele ve imzala” düğmesi, adresinde Adobe’nin bulut depolamasına bir bağlantı açar. eu1.documents.adobe.com/public/. Bu aynı zamanda yasal ve şüpheli olmayan bir adrestir. Siber suçlular tarafından oraya yüklenen belge, kurbanlara imzalanacak içeriğe erişimleri olduğu izlenimini vermeyi amaçlayan başka bir bağlantı içeriyor.
Bağlantıya tıklamak artık kurbanları sabit kodlanmış bir sözde Captcha içeren başka bir web sitesine yönlendiriyor. Ancak, doğru karakter dizisinin girilip gönderilmesi koşuluyla site, Redline Trojan’ın bir varyantını içeren bir ZIP dosyası döndürür. Programcıları onu şifreleri, kripto cüzdanlarını ve daha fazlasını çalmak için kullanmak istiyor.
Spesifik örnekte, saldırganlar özellikle kurbanı seçti. Yüzbinlerce abonesi olan bir YouTube kanal sahibiydi, bu nedenle kötü amaçlı yazılım e-postasındaki uydurma hikaye kurbana çok iyi uyuyor. Avast’a göre, alıcı e-postayı biraz “kimlik hırsızı” buldu ve bu nedenle bağlantıya tıklamadı. Saldırganlar, başka bir Sign hizmeti aracılığıyla başlayan başka bir girişimde bulundu, ancak sonunda kurbanı kötü amaçlı kodla neşelendirmek için Adobe Sign aracılığıyla tekrar denedi.
Kötü amaçlı yazılım dolandırıcılığı, Adobe’nin Sign Cloud hizmetini kötüye kullanır. Nihai olarak kötü niyetli bağlantılara sahip belgeleri barındırır ve saldırganlar adına güvenilir görünen e-postalar gönderir.
(Resim: Avast/Blog)
Dolandırıcılık haindir. Adobe e-postaları ve Adobe etki alanları, birçok koruma ürünü tarafından güvenilir olarak sınıflandırılabilir. Bu tür e-postaların alıcıları ayrıca resmi Adobe adresine herhangi bir süslü adresten daha fazla güvenirler. Saldırganlar, ZIP dosyasındaki kötü amaçlı yazılımın boyutunu 400 megabaytın üzerine çıkardı; esasen sıfır dolguludurlar. Buradaki fikir, muhtemelen birçok virüs tarayıcının taramaları dosyanın bir kısmıyla sınırlandırması veya büyük dosyalarda farklı davranmasıdır. Beceriksiz de olsa başka bir tespitten kaçma girişimi.
Avast, gözlemlenen saldırıyı potansiyel kurbanları hedef alan yeni bir teknik olarak görüyor. Araştırmacılar bu saldırıyı yalnızca gözlemleseler de, bunun yakında popüler bir dolandırıcılık haline geleceğine inanıyorlar. Bazı kötü amaçlı yazılım filtrelerini atlar ve böylece daha fazla potansiyel kurbana ulaşır, bu da onu çekici kılar.
Güvenilir e-postalar, siber suçlular tarafından potansiyel kurbanlara kötü amaçlı yazılım yerleştirmek için kullanılan yaygın bir araçtır. Örneğin, kısa süre önce geri dönen Emotet Truva Atı, alıcıları kötü amaçlı yazılım çalıştırmaları için kandırmak için artık OneNote dosyalarını e-posta ekleri olarak kullanıyor.
(dmk)
Haberin Sonu