Киберпреступники с помощью онлайн-конвертеров крадут личную информацию и, в худшем случае, устанавливают вредоносное ПО на устройства жертв. Предупреждение об этом поступило из отделения ФБР в Денвере после того, как возросло число сообщений о таком типе мошенничества.
Злоумышленники создают веб-сайты, на которых рекламируются бесплатные конвертеры документов, инструменты для скачивания или объединения файлов. Например, сайты, которые заявляют, что преобразуют файл .doc в файл .pdf, объединяют несколько файлов .jpg в один файл .pdf, или скачивают MP3 или MP4. В полученном файле может быть скрытое вредоносное ПО, с помощью которого мошенники получают доступ к заражённому устройству. Также киберпреступники пытаются имитировать законные URL-адреса, заменяя одну букву или добавляя «INC» вместо «CO», сообщили в ФБР.
ФБР предупреждает, что загруженные пользователем документы могут содержать конфиденциальную информацию, такую как имена, номера социального страхования, криптографические ключи, кодовые фразы, адреса кошельков, адреса электронной почты, пароли и банковскую информацию.
Наиболее уязвимы пользователи, которые ищут в интернете «бесплатный онлайн-конвертер файлов», так как поисковые алгоритмы включают в результаты поиска мошеннические ресурсы.
Исследователь в области кибербезопасности Уилл Томас поделился информацией о нескольких сайтах, которые позиционировали себя как онлайн-конвертеры документов, например DocuFlex и PDFixers. Эти сайты больше не доступны, но они распространяли вредоносные файлы Pdfixers.exe [VirusTotal] и DocuFlex.exe [VirusTotal].
Исследователь в области кибербезопасности, известный тем, что отслеживал заражение Gootloader, сообщил о рекламной кампании Google, которая продвигала сайты, притворявшиеся конвертерами файлов, но вместо этого загружавшие вредоносное ПО. Исследователь нашёл на сайте WordPress форму для загрузки PDF-файла, чтобы преобразовать его в файл .DOCX внутри .zip-архива. Но после прохождения определённых проверок — если пользователь находится в англоязычной стране и не посещал в течение последних 24 часов ту же подсеть класса C — пользователи вместо этого получают файл .JS внутри .zip-архива, а не настоящий .DOCX.
Этот файл JavaScript — Gootloader, загрузчик вредоносного ПО, известный тем, что загружает банковские трояны, похитители данных, загрузчики вредоносного ПО и инструменты постэксплуатации, такие как маячки Cobalt Strike.
Таким образом вирусы проникают в корпоративные сети и распространяются на другие компьютеры. В прошлом это приводило к масштабным атакам программ-вымогателей, таких как REvil и BlackSuit.
Не все конвертеры файлов содержат вредоносное ПО, но если сайт относительно неизвестен, лучше его избегать. Любой полученный с сайта исполняемый файл или JavaScript наверняка вредоносен.
ссылка на оригинал статьи https://habr.com/ru/articles/893766/
Добавить комментарий