Les cybercriminels abusent d’Adobe Acrobat Sign, un service de signature de documents en ligne, pour distribuer des logiciels malveillants voleurs d’informations à des utilisateurs peu méfiants.
Le service est utilisé abusivement pour envoyer des e-mails malveillants provenant de l’éditeur de logiciels afin de contourner les protections de sécurité et inciter les destinataires à faire confiance à l’e-mail reçu.
La stratégie d’abus de services légitimes n’est pas nouvelle. Des cas similaires observés récemment incluent l’abus de factures PayPal, les commentaires Google Docs, etc.
Cette nouvelle tendance de la cybercriminalité a été signalée par des chercheurs d’Avast, qui mettent en garde contre son efficacité à contourner les couches de sécurité et à tromper les cibles.
Abus de services légitimes
Adobe Acrobat Sign est un service de signature électronique gratuit basé sur le cloud qui permet aux utilisateurs d’envoyer, de signer, de suivre et de gérer des signatures électroniques.
Les auteurs de menaces s’enregistrent auprès du service et en abusent pour envoyer des messages à des adresses e-mail cibles, qui renvoient à un document (DOC, PDF ou HTML) hébergé sur les serveurs d’Adobe (« eu1.documents.adobe.com/public/ »).
Les documents contiennent un lien vers un site Web qui demande aux visiteurs de résoudre un CAPTCHA pour ajouter de la légitimité, puis de leur fournir une archive ZIP contenant une copie du voleur d’informations Redline.
Redline est un logiciel malveillant dangereux capable de voler les informations d’identification de compte, les portefeuilles de crypto-monnaie, les cartes de crédit et d’autres informations stockées sur l’appareil piraté.
Avast a également repéré des attaques très ciblées utilisant cette méthode, comme dans un cas où la cible possédait une chaîne YouTube populaire avec de nombreux abonnés.
En cliquant sur le lien du message spécialement conçu envoyé via Adobe Acrobat Sign, la victime a été amenée à un document alléguant une violation du droit d’auteur de la musique, un thème commun et crédible pour les propriétaires de chaînes YouTube.
Cette fois, le document était hébergé sur dochub.com, une plate-forme légitime de signature de documents en ligne.
Le lien dans le document mène au même site Web protégé par CAPTCHA qui supprime une copie de Redline.
Dans ce cas, cependant, le ZIP contenait également plusieurs exécutables non malveillants du jeu GTA V, probablement une tentative de tromper les outils AV en mélangeant la charge utile avec des fichiers inoffensifs.
Avast signale également que la charge utile Redline a été artificiellement gonflée à 400 Mo dans les deux cas, ce qui, encore une fois, aide à protéger contre les analyses antivirus. Cette même méthode a été utilisée dans les récentes campagnes de phishing de logiciels malveillants Emotet.
Les acteurs de l’hameçonnage sont constamment à la recherche de services légitimes qui peuvent être utilisés de manière abusive pour promouvoir leurs e-mails malveillants, car ces services contribuent à augmenter les taux de livraison de leur boîte de réception et de réussite de l’hameçonnage.
Avast a partagé tous les détails de ses découvertes avec Adobe et dochub.com, et nous espérons que les deux services trouveront un moyen d’arrêter les abus des opérateurs de logiciels malveillants.