Attackers memanfaatkan Adobe Creative Cloud untuk menargetkan pengguna Office 365 dengan tautan berbahaya yang tampaknya berasal secara sah dari pengguna Cloud, tetapi mengarahkan korban ke tautan yang mencuri kredensial mereka, menurut temuan para peneliti. kampanye yang sedang berlangsung pada bulan Desember ketika mereka menghentikan salah satu serangan, menurut laporan yang diterbitkan Kamis.
Adobe Creative Cloud adalah rangkaian aplikasi populer untuk berbagi dan membuat file dan mencakup aplikasi yang banyak digunakan seperti Photoshop dan Acrobat.
Meskipun penyerang terutama menargetkan pengguna Office 365 – target favorit di antara pelaku ancaman – peneliti telah melihat mereka juga masuk ke kotak masuk Gmail, Jeremy Fuchs, analis riset keamanan siber di Avanan, mengatakan kepada Threatpost.
Vektor serangan bekerja seperti ini: Penyerang membuat akun gratis di Adobe Cloud , lalu buat gambar atau file PDF yang memiliki tautan yang disematkan di dalamnya, yang mereka s sampaikan melalui email ke pengguna Office 365 atau Gmail.
“Anggap saja seperti saat Anda membuat Docusign,” Fuchs menjelaskan kepada Threatpost. “Anda membuat dokumen dan kemudian mengirimkannya ke penerima yang dituju. Di pihak penerima, mereka mendapatkan pemberitahuan email, di mana mereka mengklik untuk diarahkan ke tautan.”
Meskipun tautan di dalam dokumen yang dikirim ke pengguna berbahaya, mereka sendiri tidak dihosting dalam Adobe Cloud, melainkan dari domain lain yang dikendalikan oleh penyerang, tambahnya.
Bagaimana Kampanye Bekerja
Peneliti membagikan tangkapan layar dari serangan yang mereka amati dalam laporan. Satu menunjukkan penyerang mengirim apa yang tampak seperti PDF sah yang disebut Closing.pdf yang dikirim dari Adobe dengan tombol yang mengatakan "Buka" untuk membuka file.
Ketika pengguna mengklik tautan, dia diarahkan ke halaman Adobe Document Cloud yang menyertakan tombol "Akses Dokumen" yang seharusnya mengarahkan mereka ke Adobe PDF. Namun, tautan itu sebenarnya mengarah ke halaman pengambilan kredensial "klasik", yang di-host di luar suite Adobe, menurut laporan tersebut.
Attackers dapat menggunakan model ini untuk mengirim berbagai dokumen atau gambar Adobe Cloud yang tampak sah ke pengguna yang tidak curiga, Fuchs mengatakan kepada Threatpost.
Dirancang untuk Menghindari Deteksi
Meskipun tangkapan layar kedua yang dibagikan dalam laporan menyertakan teks dengan kesalahan tata bahasa yang seharusnya memperingatkan pengguna bahwa itu mencurigakan jika mereka memperhatikan, umumnya kampanye telah dibuat untuk menghindari deteksi dari pengguna akhir dan pemindai email, kata peneliti.
Untuk satu, pemberitahuan datang langsung dari Adobe, perusahaan yang dipercaya pengguna dan yang juga ada di sebagian besar pemindai "Daftar Izinkan", kata peneliti. Selain itu, email palsu terlihat seperti email tradisional yang akan diterima pengguna akhir dari Adobe, kata mereka.
“Meskipun beberapa lompatan untuk sampai ke halaman akhir dapat menyebabkan beberapa tanda bahaya dari pengguna akhir yang cerdas, itu tidak akan hentikan semua yang ingin menerima dokumen mereka, terutama ketika judul PDF – dalam hal ini 'Penutupan' – dapat menimbulkan urgensi,” tulis para peneliti dalam laporannya.
Peneliti pada saat ini tidak tahu siapa di balik kampanye tersebut, yang untuk saat ini tetap pada tujuannya untuk mengumpulkan kredensial, meskipun "itu bisa berubah," kata Fuchs kepada Threatpost.
Avoiding Compromise
Researchers menyarankan sejumlah cara profesional keamanan dan pengguna akhir dapat menghindari menjadi korban kampanye. Salah satunya adalah untuk memeriksa semua halaman cloud Adobe untuk tata bahasa dan ejaan, dan mengarahkan kursor ke tautan untuk memastikan halaman yang dimaksud adalah sah, kata mereka dalam laporan.
Security pro juga harus menerapkan perlindungan email yang tidak bergantung pada Daftar Perbolehkan statis tetapi sebaliknya gunakan solusi yang mencakup analisis dinamis yang digerakkan oleh AI, saran para peneliti. Izinkan Daftar dapat membiarkan email berbahaya lolos saat penyerang menggunakan email palsu yang tampaknya berasal dari entitas tepercaya.
Akhirnya, Avanan menyarankan agar organisasi menginstal solusi keamanan yang dapat membuka file PDF di kotak pasir dan memeriksa semua tautan untuk mendeteksi kemungkinan niat jahat, menurut report.
PasswordReset: Acara Sesuai Permintaan: Perkuat 2022 dengan strategi keamanan kata sandi yang dibuat untuk ancaman saat ini. Meja Bundar Keamanan Threatpost ini, dibuat untuk para profesional infosec, berpusat pada manajemen kredensial perusahaan, dasar-dasar kata sandi baru, dan mengurangi pelanggaran pasca-kredensial. Bergabunglah dengan Darren James, dengan Specops Software dan Roger Grimes, penginjil pertahanan di KnowBe4 dan pembawa acara Threatpost Becky Bracken. Daftar & Streaming sesi GRATIS ini hari ini – disponsori oleh Specops Software.
Tulis komentar
Bagikan artikel ini:
- iKeamanan Web
