【又有新招】Adobe Cloud被用作竊取 Office 365、Gmail 憑證
上周四隸屬 Check Point 的 Avanan 發表的一份報告提到,有研究人員發現,威脅參與者在 Adobe Cloud 中創建帳戶,並向 Office 365 和 Gmail 用戶,發送看似正常的圖檔和 PDF 檔,其惡意連結亦同樣看似來自正常的雲端帳戶,但事實上卻是將受害者引導至竊取其憑證的連結。
Adobe Creative Cloud 包含多種創作或檔案分享的應用程式,例如 Photoshop 和 Acrobat 等。根據該份報告,Avanan 的研究人員在去年 12 月時,首次發現了正在進行的攻擊活動,並阻止其中一次攻擊。
Avanan 的網絡安全研究分析師 Jeremy Fuchs 向 Threatpost 表示,雖然攻擊者主要針對 Office 365 用戶,但研究人員亦發現他們也同時攻擊 Gmail 的用戶。
他們的攻擊方式是先在 Adobe Cloud 中創建一個免費帳戶,然後創建一個圖像或 PDF 文件,並在當中嵌入連結,他們通過電子郵件將其共享給 Office 365 或 Gmail 用戶。Fuchs 舉例指,在創建 Docusign 後,然後將文件發送給預期的收件人,接收一方便會收到一封電子郵件通知,點擊後會被導向至連結。他續指,雖然發送給用戶的文檔中的是惡意連結,但它們本身並不託管在 Adobe Cloud 中,而是來自攻擊者控制的另一個 Domain。
研究人員分享了他們在報告中觀察到的攻擊的截圖,其中一個顯示攻擊者發送看似正常的 PDF 檔,名為 Closing.pdf,並從 Adobe 發送,當中帶有一個「open」按鈕作為打開文件。當用戶點擊該連結時,將被重新導向到一個 Adobe Document Cloud 頁面,該頁面包含一個「Access Document」按鈕,理論上應將他們引導至 Adobe PDF,但實際上卻指向一個憑證收集頁面,而該頁面是託管在 Adobe 套件之外。Fuchs 指,攻擊者可以使用此模型向毫無戒心的用戶,發送各種看起來沒有問題 Adobe Cloud 文檔或圖像。
研究人員表示,儘管報告中的第二個屏幕截圖包含帶有語法錯誤的文本,如果用戶注意到的話,應該會知道檔案可疑;而通常這類檔案是避過了終端用戶和電子郵件掃描器的檢測。
研究人員說,由於通知是由 Adobe 發出,除了是一間受用戶信任的公司,也在大多數掃描器的「允許列表」中。此外,他們指出,這些欺騙電郵看起來就像從 Adobe 收到的傳統電子郵件。
報告中指出,雖然到達最後一頁前有幾次頁面轉移,可能會引起用戶注意到可疑之處,而這些 PDF 的標題,帶有「Closing」字眼,令收件者感到有迫切感,而打開文件。Fuchs 告訴 Threatpost,目前研究人員不知道這次行動的幕後黑手是誰,但目前這些活動似乎仍以收集憑證資料為目標。
研究人員提出了多種避免成為受害者的方法,其一是檢查所有 Adobe cloud 頁面的語法和拼寫,並將滑鼠鼠標停在連結上,以確保預期頁面是無問題的。研究人員亦建議,安全專家應部署不依賴允許列表的電子郵件保護,而是使用包括 AI 驅動的分析解決方案。當攻擊者使用看似來自受信任的欺騙性電子郵件時,允許列表或讓惡意電子郵件溜入。最後,Avanan 建議企業組織安裝安全解決方案,在沙箱中打開 PDF 文件,並檢查所有連結,檢測當中是否有潛在的惡意意圖。