Des pirates abusent d’Adobe Acrobat Sign pour distribuer le malware RedLine !
Les pirates abusent du service en ligne Adobe Acrobat Sign pour tenter de piéger des utilisateurs dans le but d'infecter leur machine avec le malware RedLine.
La solution Cloud "Adobe Acrobat Sign" est un service de signature électronique permettant aux utilisateurs d'envoyer, suivre et gérer la signature électronique de documents de différents types. Puisque ce service permet à l'utilisateur d'envoyer une demande de signature à n'importe qui, les pirates l'utilisent pour tenter de piéger des utilisateurs.
Quand une demande de signature est requise, le service Acrobat Sign va générer un e-mail et notifier l'utilisateur ciblé par e-mail. De ce fait, c'est le service d'Adobe qui expédie directement l'e-mail à destination de l'utilisateur, et de ce fait, cet e-mail est considéré comme légitime. Cela va lui permettre de passer au travers des systèmes de détection puisque les serveurs Adobe sont légitimes, sur le principe.
D'après une analyse publiée par les chercheurs en sécurité d'Avast, les cybercriminels diffusent des demandes de signature via Acrobat Sign. Lorsque l'utilisateur accède au document en ligne, il est invité à cliquer sur un lien qui le redirige vers une autre page où se situe un CAPTCHA codé en dur. En validant cette protection, l'utilisateur va télécharger un fichier ZIP qui contient le malware RedLine. Dans ce fichier ZIP, il y a d'autres fichiers légitimes qui ne sont pas des exécutables.
Autre détail important, sur la taille de l'exécutable RedLine contenu dans ce fichier ZIP. Voici ce que précise Avast : "L'une des caractéristiques des deux variantes de Redline que ces cybercriminels ont utilisées dans ces attaques est qu'ils ont artificiellement augmenté la taille du cheval de Troie à plus de 400 Mo." Il est fort possible que ce soit une astuce utilisée par les cybercriminels dans l'espoir de contourner certains moteurs antivirus : un fichier volumineux pourrait être traité différemment qu'un fichier léger qui serait rapide à analyser.
Pour rappel, ce logiciel malveillant est réputé pour dérober des identifiants et le contenu des portefeuilles pour cryptomonnaies sur les ordinateurs infectés.
Pour le moment, Avast a détecté quelques cas d'utilisation de cette méthode et elle ne semble pas utilisée à grande échelle, mais il faut rester méfiant comme toujours : "Cette utilisation abusive d'Adobe Acrobat Sign pour distribuer des logiciels malveillants est une nouvelle technique utilisée par les attaquants et ciblant une victime spécifique. Notre équipe n'a pas encore détecté d'autres attaques utilisant cette technique, mais nous craignons qu'elle ne devienne un choix populaire pour les cybercriminels dans un avenir proche. "