Malware-Masche: Acrobat Sign-Dienst zum Unterschieben von Malware missbraucht

Avast hat eine neue Masche beobachtet, mit der Cyberkriminelle Opfern Malware unterjubeln wollten. Sie missbrauchen dazu den Adobe-Sign-Dienst.

In Pocket speichern vorlesen Druckansicht 25 Kommentare lesen
Closeup,Of,Laptop,Keyboard,Illumination,,Backlit,Keyboard

(Bild: Clari Massimiliano/Shutterstock.com)

Lesezeit: 4 Min.
Von

Wenn eine Mail von Adobe kommt und um eine digitale Unterschrift bittet, kann da ja nichts Schlimmes dran sein – das sollen sich offenbar potenzielle Opfer einer neu entdeckten Malware-Masche denken. Wie das Antivirenunternehmen Avast berichtet, haben Cyberkriminelle den Adobe-Sign-Cloud-Dienst missbraucht, um ihren Opfern vertrauenswürdig aussehende Mails zu schicken. Schlussendlich landen Empfänger dann aber bei einem Schädlings-Download.

Hinter Acrobat Sign steckt ein Cloud-Dienst, der registrierten Nutzern das Senden von Unterschrift-Anfragen für Dokumente an beliebige Empfänger erlaubt. Dabei erstellt Adobe Sign eine E-Mail und schickt sie an den Empfänger, die einen Link zu dem Dokument – PDF, Word-Dokumente, HTML-Dateien und weitere – enthält. Die Dokumente hostet Adobe direkt, erklärt Avast in einem Blog-Beitrag zur neuen Masche. Absender könnten zudem noch Text hinzufügen, der in die Mail eingebaut wird. Hier können Cyberkriminelle einfach ansetzen.

Die E-Mails, die Avast analysieren konnte, stammten direkt von der legitimen Adobe-Adresse adobesign@adobesign.com, allerdings war der angezeigte Name modifiziert. Eine Schaltfläche "Review and sign" in der Mail öffnet einen Link auf Adobes Cloud-Speicher unter eu1.documents.adobe.com/public/. Auch dabei handelt es sich um eine legitime und unverdächtige Adresse. In dem von den Cyberkriminellen dort hochgeladenen Dokument findet sich ein weiterer Link, der Opfern den Eindruck vermitteln soll, Zugriff auf die zu unterzeichnenden Inhalte zu erhalten.

Der Klick auf den Link leitet Opfer nun auf eine weitere Webseite, die ein hardkodiertes Pseudo-Captcha enthält. Sofern die richtige Zeichenfolge eingetragen und abgesendet wurde, schickt die Seite jedoch eine ZIP-Datei zurück, die eine Variante des Redline-Trojaners enthält. Dessen Programmierer wollen damit Passwörter, Krypto-Wallets und mehr stehlen.

Im konkreten Beispiel haben die Angreifer sich das Opfer gezielt ausgesucht. Es handelte sich um einen Inhaber eines Youtube-Kanals mit hunderttausenden Abonnenten, sodass die erfundene Geschichte in der Malware-Mail gut auf das Opfer passt. Avast zufolge hat der Empfänger die E-Mail aber schon etwas "phishy" gefunden und den Link daher nicht geklickt. Die Angreifer haben noch einen weiteren Versuch unternommen, der über einen anderen Sign-Dienst startete, dann aber schließlich wieder über Adobe-Sign versuchte, dem Opfer Schadcode unterzujubeln.

Die Malware-Masche missbraucht Adobes Sign-Clloud-Dienst. Der hostet Dokumente mit den letztlich bösartigen Links und verschickt vertrauenswürig aussehende Mails im Namen der Angreifer.

(Bild: Avast/Blog)

Die Masche ist perfide. Adobe-Mails und Adobe-Domains dürften von vielen Schutzprodukten als vertrauenswürdig klassifiziert werden. Auch Empfänger solcher Mails vertrauen der offiziellen Adobe-Adresse eher als irgendwelchen Fantasieadressen. Die Malware in der ZIP-Datei haben die Angreifer auf über 400 Megabyte Größe aufgepumpt; sie sind im Wesentlichen mit Nullen aufgefüllt. Die Idee ist vermutlich, dass viele Virenscanner die Untersuchungen auf einen Bruchteil der Datei beschränken oder sich bei großen Dateien anders verhalten. Es ist ein weiterer, wenn auch plumper, Versuch, der Erkennung zu entgehen.

Avast sieht in dem beobachteten Angriff eine neue Technik, um potenzielle Opfer anzugehen. Zwar haben die Forscher nur diese Attacke beobachtet, halten es jedoch für wahrscheinlich, dass das in Kürze eine populäre Masche wird. Sie umgeht einige Malware-Filter und erreicht so mehr potenzielle Opfer, was sie attraktiv macht.

Vertrauenswürdig aufgemachte E-Mails sind ein häufig von Cyberkriminellen genutztes Vehikel, um potenziellen Opfern Schadsoftware unterzuschieben. Etwa der jüngst zurückgekehrte Emotet-Trojaner nutzt jetzt OneNote-Dateien als E-Mail-Anhang, um damit Empfänger zum Ausführen von Malware zu verleiten.

(dmk)