IT-Connect » Actualités » Actu Cybersécurité » Des pirates abusent d’Adobe Acrobat Sign pour distribuer le malware RedLine !

Adobe Acrobat Sign - Malware RedLine
Actu Cybersécurité 

Des pirates abusent d’Adobe Acrobat Sign pour distribuer le malware RedLine !

Florian BURNEL 1172 Views Aucun commentaire 2 min read

Les pirates abusent du service en ligne Adobe Acrobat Sign pour tenter de piéger des utilisateurs dans le but d'infecter leur machine avec le malware RedLine.

La solution Cloud "Adobe Acrobat Sign" est un service de signature électronique permettant aux utilisateurs d'envoyer, suivre et gérer la signature électronique de documents de différents types. Puisque ce service permet à l'utilisateur d'envoyer une demande de signature à n'importe qui, les pirates l'utilisent pour tenter de piéger des utilisateurs.

Quand une demande de signature est requise, le service Acrobat Sign va générer un e-mail et notifier l'utilisateur ciblé par e-mail. De ce fait, c'est le service d'Adobe qui expédie directement l'e-mail à destination de l'utilisateur, et de ce fait, cet e-mail est considéré comme légitime. Cela va lui permettre de passer au travers des systèmes de détection puisque les serveurs Adobe sont légitimes, sur le principe.

D'après une analyse publiée par les chercheurs en sécurité d'Avast, les cybercriminels diffusent des demandes de signature via Acrobat Sign. Lorsque l'utilisateur accède au document en ligne, il est invité à cliquer sur un lien qui le redirige vers une autre page où se situe un CAPTCHA codé en dur. En validant cette protection, l'utilisateur va télécharger un fichier ZIP qui contient le malware RedLine. Dans ce fichier ZIP, il y a d'autres fichiers légitimes qui ne sont pas des exécutables.

Autre détail important, sur la taille de l'exécutable RedLine contenu dans ce fichier ZIP. Voici ce que précise Avast : "L'une des caractéristiques des deux variantes de Redline que ces cybercriminels ont utilisées dans ces attaques est qu'ils ont artificiellement augmenté la taille du cheval de Troie à plus de 400 Mo." Il est fort possible que ce soit une astuce utilisée par les cybercriminels dans l'espoir de contourner certains moteurs antivirus : un fichier volumineux pourrait être traité différemment qu'un fichier léger qui serait rapide à analyser.

Pour rappel, ce logiciel malveillant est réputé pour dérober des identifiants et le contenu des portefeuilles pour cryptomonnaies sur les ordinateurs infectés.

Pour le moment, Avast a détecté quelques cas d'utilisation de cette méthode et elle ne semble pas utilisée à grande échelle, mais il faut rester méfiant comme toujours : "Cette utilisation abusive d'Adobe Acrobat Sign pour distribuer des logiciels malveillants est une nouvelle technique utilisée par les attaquants et ciblant une victime spécifique. Notre équipe n'a pas encore détecté d'autres attaques utilisant cette technique, mais nous craignons qu'elle ne devienne un choix populaire pour les cybercriminels dans un avenir proche. "

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5575.Voir tous les posts

Vous pourrez aussi aimer

CVE-2022-26138

Atlassian corrige une faille de sécurité dans Confluence liée à des identifiants codés en dur

Florian BURNEL 0

Cyberattaques : les fournisseurs de télécoms ciblés par le malware HTTPSnoop !

Florian BURNEL 0

SolarWinds piraté, le paquet de son logiciel Orion infecté par un malware

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.