นักวิจัยของ Avast บริษัทด้านความปลอดภัยทางไซเบอร์ เปิดเผยการพบ Hacker ได้ใช้วิธีการ Adobe Acrobat Sign ในการแพร่กระจายมัลแวร์ขโมยข้อมูลที่ชื่อว่า Redline โดยการสร้าง Phishing Email ซึ่งปลอมแปลงเป็นอีเมลจาก Adobe Acrobat Sign เพื่อหลอกเป้าหมาย และหลีกเลี่ยงการตรวจจับจากอุปกรณ์ป้องกันด้านความปลอดภัย
Adobe Acrobat Sign เป็นบริการ e-Signature บนระบบคลาวด์ที่เปิดให้ทดลองใช้ฟรี ซึ่งช่วยให้ผู้ใช้สามารถส่ง ลงนาม ติดตาม และจัดการลายเซ็นอิเล็กทรอนิกส์ได้
Redline info-stealing malware เป็นมัลแวร์ที่สามารถขโมยข้อมูล credentials ของบัญชี, กระเป๋าเงินดิจิตอล, ข้อมูลบัตรเครดิต และข้อมูลอื่น ๆ ที่จัดเก็บไว้ในอุปกรณ์ที่ถูกโจมตี
การโจมตีโดยการใช้ Adobe Acrobat Sign
นักวิจัยรายงานว่า Hacker จะทำการลงทะเบียนกับผู้ให้บริการ และส่ง Phishing Email ไปยังที่อยู่อีเมลของเป้าหมาย ซึ่งในอีเมลจะแนบเอกสาร (DOC, PDF หรือ HTML) ที่โฮสต์อยู่บนเซิร์ฟเวอร์ของ Adobe ("eu1.documents.adobe.com/public/") โดยในเอกสารจะมีลิงค์ไปยังเว็บไซต์ซึ่งจะมี CAPTCHA ที่ให้ผู้ใช้งานทำการกรอก (เพื่อระบุว่าเป็นคนจริง ๆ) หลังจากนั้นก็จะทำการดาวน์โหลดไฟล์ ZIP ที่มีมัลแวร์ Redline อยู่ภายใน โดยไฟล์ที่ฝังมัลแวร์ Redline ไว้นั้นมีขนาดถึง 400MB เพื่อหลีกเลี่ยงการตรวจจับจากอุปกรณ์ป้องกันด้านความปลอดภัย
นอกจากนี้ทาง Avast ยังพบว่ากลุ่ม Hacker ได้ใช้วิธีการนี้ในการโจมตีแบบกำหนดเป้าหมายเช่นเดียวกัน เช่น ในกรณีหนึ่งที่เป้าหมายเป็นเจ้าของช่อง YouTube ชื่อดัง Hacker ได้ส่งลิงค์อันตรายผ่าน Adobe Acrobat Sign โดยในอีเมลจะมีเอกสารที่อ้างว่าเป้าหมายได้ละเมิดลิขสิทธิ์เพลง เพื่อทำให้เหยื่อหลงเชื่อ
โดยเอกสารดังกล่าวถูกโฮสต์อยู่บน dochub.com และในเอกสารได้แนบลิงค์นำไปสู่เว็บไซต์ที่มี CAPTCHA เพื่อให้ผู้ใช้งานทำการดาวน์โหลดไฟล์ ZIP ที่มีมัลแวร์ Redline ฝังอยู่
ขณะนี้ทาง Avast ได้แจ้งรายงานการโจมตีดังกล่าวไปยัง Adobe และ dochub.com แล้ว เพื่อเร่งทำการแก้ไข และป้องกันโดยเร็วที่สุด
ที่มา : bleepingcomputer
You must be logged in to post a comment.