Adobe Acrobat Sign

Adobe Acrobat Sign:una herramienta para distribuir malware en 2023

¿Qué pasaría si un atacante consiguiera que una empresa conocida distribuyera un correo electrónico bajo el nombre de la misma, utilizando Adobe Acrobat Sign?

Los actores maliciosos llevan décadas distribuyendo malware a través del correo electrónico. Con el tiempo, la tecnología de seguridad ha evolucionado y mejorado mucho, dificultando esta tarea a los ciberdelincuentes. Hace veinte años, fuimos testigos de la frecuente distribución de gusanos por correo electrónico, que provocaron una inundación en las bandejas de entrada y un colapso en los servidores. Aunque la prevalencia de gusanos por correo electrónico es mucho menor hoy en día, el phishing por correo electrónico es la nueva amenaza predominante a la que se enfrentan los usuarios en la actualidad, a pesar de que el correo electrónico es una gran herramienta utilizada por la mayoría de los internautas.

No sólo han evolucionado los distintos mecanismos de protección, sino que las personas también se han vuelto más conocedoras de la tecnología, lo que hace cada vez más difícil engañarlas. Sin embargo, no malinterprete: los ciberdelincuentes modernos son profesionales que viven de la ciberdelincuencia e invierten mucho en sus trucos (a veces los presentan en mensajes, que pasan por experimentados profesionales de la seguridad). En cualquier caso, no podemos subestimar la capacidad de estos ciberdelincuentes para llevar a cabo actividades maliciosas.

¿Qué pasaría si un atacante consiguiera que una empresa conocida distribuyera un correo electrónico bajo el nombre de la misma? ¿Y si el único enlace de ese correo llevará al lector a un sitio web perteneciente a la misma empresa? En este mensaje no hay remitentes sospechosos, ni URL sospechosas, ni inclusión de otros sitios web: todo es legítimo. Lo más probable es que este tipo de correo electrónico no sólo eluda todas las capas de ciberseguridad, sino que también engañe al usuario final.

¿Cómo utilizan esta innovadora técnica los ciberdelincuentes actuales?

Adobe ofrece un servicio en la nube para firmar documentos en línea, denominado Acrobat Sign, en el que los usuarios pueden registrarse y empezar a utilizarlo inmediatamente. Adobe Acrobat Sign permite a los usuarios registrados enviar una solicitud de firma de documentos a cualquier persona. Al hacerlo, se generará un correo electrónico que se enviará a los destinatarios deseados. El correo electrónico incluye un enlace al documento (que puede ser un PDF, un documento de Word, un archivo HTML, etc.), que se aloja en la propia Adobe.

El remitente puede añadir el texto que desea que se muestre en el correo electrónico, un detalle importante ya que los ciberdelincuentes pueden abusar fácilmente de él.

Este es uno de los mensajes que capturó nuestro equipo:

mpg T wJU1d17zVTM6LMDvtmzj1YjpmF2k2LhMuMmWT1Ul rJwl mqMILJ9 TKhFnvemyEOd3kz7vj4Y15bGUuljYLR7Satd2GsNjtMpzmp8P1CGpsAEqRuP oebGfM lcD3qLP cYf7Y8Wo j2gQ

La dirección del remitente aparece como adobesign@adobesign.com, que es una dirección de correo electrónico legítima.

Cuando la víctima hace clic en el botón “Revisar y firmar”, es dirigido a una página alojada en “”eu1.documents.adobe.com/public/“, que es otra fuente legítima perteneciente a Adobe. Como he mencionado anteriormente, las personas que utilizan este servicio pueden cargar una amplia variedad de tipos de archivos en Adobe Acrobat Sign, que se mostrarán en el correo electrónico con la opción de firmarlos.

Los ciberdelincuentes incluyen texto con un enlace en un documento, lo que da a la víctima la idea de que ya ha leído el contenido antes de firmarlo. Al hacer clic en el enlace, la víctima es redirigida a otro sitio web donde se le pide que introduzca un CAPTCHA codificado.

vzacYtIT4zth6z8RArqUtqDpCMtyca3V9eDbKV738xsR892c2vR2lNfRTfE5QVmeXHCL3CkFxcBZCfveB9 Sr27eVBzcFt2joax5p1c NL3

Una vez introducido, se pedirá a la víctima que descargue un archivo ZIP, que contiene una variante del troyano Redline diseñada para robar contraseñas, carteras de criptomonedas y mucho más.

En el ejemplo anterior, el objetivo del ataque tiene un canal de YouTube con cientos de miles de suscriptores, por lo que el tema del mensaje encaja muy bien con ese perfil. Afortunadamente, la víctima se dio cuenta de que había algo parecido al “phishing” en el mensaje y no hizo clic en el enlace.

Sin embargo, no dispuesto a afrontar la derrota, el ciberdelincuente intentó llevar a cabo el ataque de nuevo unos días más tarde. Para aumentar las posibilidades de conseguir instalar el malware, también añadieron otro enlace en el correo electrónico enviado por Adobe.

Al hacer clic en ese enlace, se cargará la siguiente página en el navegador:

T6xOuKR3GCBGS1Q

Esta página está alojada en dochub.com, que es otra empresa que ofrece firma electrónica de documentos. Sin embargo, si la víctima hace clic en el botón “Revisar y firmar” dentro del correo electrónico, le llevará a Adobe y le mostrará el mismo documento para firmar (que también contiene el mismo enlace).

Adobe Acrobat Sign
Adobe Acrobat Sign

El enlace en los documentos cargados en dochub.com y adobe.com lleva a la víctima al mismo CAPTCHA (que está codificado):

Adobe Acrobat Sign
Adobe Acrobat Sign

Cuando se introduce correctamente, conduce a la víctima a la descarga del malware, que es otra variante del troyano Redline. En este caso, el archivo ZIP también contenía otros ejecutables no maliciosos pertenecientes al juego Grand Theft Auto V.

Una de las características de las dos variantes de Redline que estos ciberdelincuentes utilizaron en estos ataques es que aumentaron artificialmente el tamaño del troyano hasta más de 400 MB.

Esto no lo nota la víctima durante la descarga porque el archivo está comprimido y la mayor parte de este tamaño artificial sólo se ha rellenado con ceros. Se desconoce el motivo. Es posible que los ciberdelincuentes lo utilicen con la esperanza de eludir algunos motores antivirus, que pueden comportarse de forma diferente con archivos de gran tamaño.

Este abuso de Adobe Acrobat Sign para distribuir malware es una nueva técnica utilizada por los atacantes, dirigida a una víctima específica. Nuestro equipo aún no ha detectado otros ataques que utilicen esta técnica.

Sin embargo, tememos que pueda convertirse en una opción popular para los ciberdelincuentes en un futuro próximo.

Esto se debe a que puede evitar diferentes filtros antimalware, lo que aumenta sus posibilidades de llegar a las víctimas.

En cualquier caso, ya nos hemos puesto en contacto con Adobe y dochub.com y hemos compartido con ellos toda la información sobre el incidente.

¿Cómo protegerse?

  • No haga clic en enlaces de correo electrónico de remitentes desconocidos. Preste mucha atención a todo lo que reciba, especialmente de quienes no conozca.

  • Compruebe sus fuentes. Antes de hacer clic en un enlace, pregúntese por qué lo ha recibido y si puede considerarse legítimo.

  • Utilice software de seguridad. El software de seguridad, o antivirus, actúa como una red de seguridad que protege incluso a los internautas más expertos en tecnología.

 

Por: Luis Corrons, Especialista de Seguridad de Avast

 

Lea más sobre ciberseguridad en;

Zero Trust 2023: El futuro de la Ciberseguridad

¿Por qué la ciberseguridad ha tomado importancia? LATAM CISO 2023

IBM Security X-Force 2023: informe de inteligencia

Sharepoint le pone color cibercriminal al 2023

Conti 2023: ransomware descifrado por Kaspersky

Adobe Acrobat Sign, Adobe AcroAdobe Acrobat Sign, Adobe Acrobat Sign, Adobe Acrobat Sign, Adobe Acrobat Sign, Adobe Acrobat Sign, Adobe Acrobat Sign, Adobe Acrobat Sign, Adobe Acrobat Sign, Adobe Acrobat Sign, 

Scroll al inicio