Fałszywy Adobe Document Cloud i ScreenConnect

TL;DR

Fałszywy Adobe Document Cloud to przykład phishingu, który wykorzystuje codzienny odruch pracy z dokumentem. Użytkownik dostaje link do rzekomo poufnego pliku, widzi stronę podobną do usługi chmurowej i czeka na podgląd dokumentu. W tle może jednak pojawić się pobranie narzędzia zdalnego dostępu.

Cyber Security News opisał kampanię powiązaną z raportem Fortra FIRE, w której fałszywe strony Adobe Document Cloud miały dostarczać ScreenConnect. Fortra wskazywała, że ofiara widzi profesjonalnie wyglądającą animację ładowania, podczas gdy ukryty element strony pobiera instalator.

Najważniejszy wniosek dla firm: legalne narzędzie zdalnego dostępu użyte w złym kontekście staje się elementem ataku. Program awareness musi obejmować nie tylko fałszywe logowania, ale też fałszywe dokumenty, podejrzane pobrania, instalatory i prośby o uruchomienie zdalnego wsparcia.

Dokument w chmurze jako przynęta

Dokumenty udostępniane przez chmurę są codziennością. Faktury, umowy, oferty, zestawienia, potwierdzenia, skany, raporty i pliki projektowe krążą między firmami przez linki. To wygodne, ale tworzy idealne tło dla phishingu.

Użytkownik nie musi otrzymać wiadomości z formularzem logowania. Wystarczy informacja, że ktoś udostępnił plik w Adobe Document Cloud, SharePoint, Google Drive, OneDrive, Dropbox lub innym znanym narzędziu. Naturalną reakcją jest kliknięcie View, Open albo Download.

Fałszywa strona może wykorzystać logo, animację ładowania, nazwę pliku i język typowy dla korporacyjnych dokumentów. Jeżeli użytkownik spodziewa się dokumentu, nietypowe zachowanie strony może zinterpretować jako problem techniczny, a nie sygnał ataku.

To ważna różnica. W klasycznym phishingu użytkownik podejmuje decyzję przy formularzu logowania. Tutaj decyzja pojawia się wcześniej: czy ufa stronie dokumentu, czy pozwala na pobranie pliku i czy uruchamia coś, co wygląda jak komponent do podglądu.

ScreenConnect: legalne narzędzie w złym procesie

ScreenConnect, znany także jako ConnectWise Control, jest legalnym narzędziem zdalnego dostępu używanym do wsparcia IT. Sam fakt pojawienia się takiego programu nie oznacza jeszcze złośliwości. Problem zaczyna się wtedy, gdy instalacja jest ukryta, wymuszona socjotechniką albo oderwana od znanego procesu wsparcia.

Atakujący lubią legalne narzędzia zdalnego dostępu, bo mogą wyglądać mniej podejrzanie niż niestandardowy malware. Dla systemów bezpieczeństwa, administratorów i użytkowników nazwa programu może brzmieć znajomo. Jeżeli firma używa podobnych narzędzi, ryzyko pomyłki rośnie.

W praktyce instalacja zdalnego dostępu może dać atakującemu możliwość obserwowania ekranu, przejmowania kontroli, uruchamiania poleceń, pobierania plików albo prowadzenia dalszych działań na stacji roboczej. To nie jest już tylko utrata hasła. To wejście do środowiska użytkownika.

Dlatego każdy nieoczekiwany instalator narzędzia zdalnego wsparcia powinien zatrzymać proces. Szczególnie gdy pojawia się po kliknięciu w dokument, fakturę albo link z wiadomości.

Dlaczego fałszywy dokument działa

Mechanizm jest skuteczny, bo pasuje do normalnej pracy. Użytkownik może dostać wiadomość o dokumencie od kontrahenta, klienta, działu finansów, HR albo zarządu. Temat może dotyczyć płatności, audytu, umowy, zapytania ofertowego, postępowania zakupowego albo poufnego projektu.

Strona może wyświetlać animację ładowania. Użytkownik czeka, bo dokumenty w chmurze czasem faktycznie ładują się wolno. Jeżeli pojawia się pobieranie, może uznać, że podgląd nie zadziałał i trzeba otworzyć plik lokalnie. Jeżeli instalator wygląda jak komponent do obsługi dokumentu, presja zakończenia zadania może wygrać z ostrożnością.

Ten scenariusz wykorzystuje zaufanie do marek i rutynę pracy. Adobe jest rozpoznawalne, dokument w chmurze jest normalny, a problem z podglądem nie jest niczym niezwykłym. Właśnie dlatego phishing przez dokumenty bywa trudniejszy do zauważenia niż prymitywne fałszywe logowanie.

W firmie szczególnie narażone są osoby, które codziennie otwierają dokumenty od zewnętrznych nadawców: księgowość, kadry, sprzedaż, zakupy, kancelaria, administracja i recepcja.

Polski kontekst: faktura, umowa i dokument od kontrahenta

W Polsce taki atak może wyglądać jak wiadomość z fakturą, korektą, umową, potwierdzeniem przelewu, skanem dokumentu, decyzją administracyjną albo ofertą. Nadawca może podszyć się pod kontrahenta, kancelarię, klienta, dostawcę SaaS, bank, leasing, firmę kurierską albo urząd.

Pracownik nie musi być nieuważny, aby kliknąć. Jeżeli w firmie dokumenty często przychodzą z zewnątrz, link do chmury nie jest niczym wyjątkowym. Problem zaczyna się wtedy, gdy organizacja nie ma jasnych zasad: jakie dokumenty otwieramy, kiedy logujemy się do chmury, skąd pobieramy dodatki i kto może prosić o zdalne wsparcie.

Atak przez fałszywy dokument może być też wstępem do Business Email Compromise. Przestępca najpierw uzyskuje dostęp do stacji lub poczty, a później obserwuje korespondencję, podmienia rachunki, podszywa się pod pracownika albo przygotowuje bardziej precyzyjny atak na płatność.

Dlatego nie należy traktować takiej kampanii wyłącznie jako malware. To ryzyko dla procesu finansowego, relacji z kontrahentami i zaufania do dokumentów.

Co powinien zrobić użytkownik

Jeżeli link do dokumentu prowadzi do nietypowej strony, wymaga pobrania instalatora, uruchomienia pliku, włączenia dodatku albo zgody na zdalny dostęp, użytkownik powinien przerwać proces. Dokument w chmurze nie powinien bez wyraźnego powodu wymagać instalacji narzędzia zdalnego wsparcia.

Warto sprawdzić nadawcę innym kanałem, szczególnie jeśli dokument dotyczy płatności, umowy, danych osobowych lub pilnej decyzji. Nie należy odpowiadać bezpośrednio na podejrzaną wiadomość, jeśli istnieje ryzyko przejęcia konta nadawcy. Lepiej użyć znanego numeru telefonu lub wcześniejszego kontaktu.

Użytkownik powinien też zgłosić podejrzany link do IT/Security. Nawet jeśli niczego nie uruchomił, zespół może zablokować domenę i sprawdzić, czy podobne wiadomości trafiły do innych osób.

Najgorszym działaniem jest samodzielne testowanie pliku. Otwieranie go na własnym komputerze, aby sprawdzić, co to jest, może uruchomić właściwy etap ataku.

Co powinny zrobić IT, Security i SOC

Organizacja powinna mieć jasne zasady używania narzędzi zdalnego dostępu. Pracownik powinien wiedzieć, które narzędzie jest oficjalne, jak wygląda prawidłowa sesja wsparcia, kto może ją rozpocząć i jak potwierdzić tożsamość osoby z IT.

Zespoły SOC powinny monitorować instalacje i uruchomienia narzędzi zdalnego dostępu, zwłaszcza jeśli pojawiają się z katalogu Downloads, po kliknięciu w link z poczty albo na stacjach użytkowników, którzy normalnie nie korzystają z takich narzędzi.

Warto też kontrolować domeny udające usługi dokumentowe, nietypowe pobrania z kompromitowanych stron WordPress, ukryte iframy, nowe procesy instalatorów i połączenia do infrastruktury zdalnego sterowania. Endpoint Detection and Response, czyli EDR, web proxy, DNS filtering i logi poczty mogą dać sygnały z różnych miejsc.

W programie awareness taki scenariusz warto ćwiczyć jako fałszywy dokument, nie jako oczywisty malware. Celem jest sprawdzenie, czy użytkownik zatrzyma się przy pobraniu instalatora i zgłosi sytuację, zamiast pomagać stronie rozwiązać problem z podglądem.

Co zrobić, jeśli to już się stało

Jeżeli użytkownik tylko kliknął link, ale niczego nie pobrał ani nie uruchomił, powinien zgłosić wiadomość i nie próbować ponownie otwierać dokumentu. IT/Security może sprawdzić link w kontrolowanym środowisku i zablokować domenę.

Jeżeli plik został pobrany, nie należy go otwierać. Warto zachować go do analizy zgodnie z procedurą i sprawdzić, czy podobny plik nie trafił na inne stacje.

Jeżeli instalator został uruchomiony lub pojawiło się narzędzie zdalnego dostępu, urządzenie należy potraktować jako potencjalnie skompromitowane. Trzeba przerwać połączenie sieciowe zgodnie z procedurą, nie usuwać artefaktów, zgłosić incydent i sprawdzić, czy powstały usługi, zaplanowane zadania, aktywne sesje lub nowe konta.

Jeżeli użytkownik miał dostęp do poczty, systemów finansowych, CRM, ERP, paneli bankowych lub dokumentów klientów, analiza powinna objąć także sesje aplikacyjne, logowania, reguły pocztowe i ostatnie operacje na plikach.

Jak ćwiczyć taki scenariusz

Ćwiczenie może zaczynać się od wiadomości o udostępnionym dokumencie. Nie musi zawierać prawdziwego malware ani instalatora. Wystarczy bezpieczna symulacja pokazująca moment, w którym użytkownik powinien się zatrzymać: nietypowa domena, nieoczekiwane pobranie, prośba o uruchomienie komponentu lub zdalny dostęp.

Dla działu finansowego przynętą może być faktura lub korekta. Dla HR dokument kandydata. Dla sprzedaży zapytanie ofertowe. Dla IT zgłoszenie od dostawcy. Każdy dział powinien ćwiczyć scenariusze pasujące do własnej pracy, bo wtedy wyniki są bardziej realistyczne.

Po teście warto omawiać nie tylko kliknięcie, ale też zgłoszenie. W dobrze działającej organizacji podejrzany dokument powinien szybko trafić do SOC, a nie krążyć między pracownikami jako problem techniczny.

Najważniejsza zasada

Fałszywy dokument jest groźny, bo wygląda jak praca, a nie jak atak. Jeżeli podgląd dokumentu prowadzi do instalatora, dodatku lub zdalnego dostępu, nie pomagaj stronie dokończyć procesu. Zatrzymaj go i zgłoś, zanim zwykły link do pliku stanie się wejściem do środowiska firmy.