FBI avertizează că exista multe convertoare de documente online false care sunt folosite pentru a fura informațiile utilizatorilor și, în cel mai rău caz, pentru a implementa ransomware pe dispozitivele victimelor raportează BleepingComputer.
Avertizarea a venit săptămâna trecută de la biroul FBI din Denver, după ce instituția a primit un număr tot mai mare de rapoarte despre aceste tipuri de instrumente.
„Oficiul FBI din Denver avertizează că agenții văd din ce în ce mai mult o înșelătorie care implică instrumente gratuite de conversie a documentelor online și dorim să încurajăm victimele să raporteze cazurile acestor înșelătorii”, se arată în avertisment.
„În acest scenariu, criminalii folosesc instrumente gratuite de conversie a documentelor online pentru a încărca programe malware pe computerele victimelor, ceea ce duce la infectări cu malware precum ransomware.”
FBI spune că infractorii cibernetici creează site-uri web care promovează conversia gratuită a documentelor, instrumente de descărcare sau instrumente de îmbinare a fișierelor.
„Pentru a desfășura această schemă, criminalii cibernetici din întreaga lume folosesc orice tip de instrument gratuit de conversie a documentelor sau de descărcare. Acesta ar putea fi un site web care pretinde că convertește un tip de fișier în altul, cum ar fi un fișier .doc într-un fișier .pdf”, a continuat FBI.
„De asemenea, ar putea pretinde că va combina fișiere, cum ar fi unirea mai multor fișiere .jpg într-un singur fișier .pdf. Programul suspect ar putea pretinde că este un instrument de descărcare MP3 sau MP4.”
În timp ce instrumentele online funcționează conform anunțului, FBI spune că fișierul rezultat poate conține, de asemenea, programe malware ascunse care pot fi utilizate pentru a obține acces de la distanță la dispozitivul infectat.
FBI mai spune că documentele încărcate pot fi, de asemenea, răzuite pentru informații sensibile, cum ar fi nume, numere de securitate socială, adrese de portofel cryptomonede, adrese de e-mail, parole și informații bancare.
Biroul FBI din Denver a declarat pentru BleepingComputer că oamenii au raportat acest tip de escrocherii către organele legale din SUA în ultimele trei săptămâni.
„Escrocii încearcă să imite adrese URL care sunt legitime – deci schimbând doar o literă, sau „INC” în loc de „CO”, a declarat Vikki Migoya, Biroul de Afaceri Publice pentru FBI Denver.
„Utilizatorii care în trecut introduceau „convertor gratuit de fișiere online” într-un motor de căutare sunt vulnerabili, deoarece algoritmii utilizați pentru rezultate includ acum adesea rezultate plătite, care ar putea fi înșelătorii.”
FBI le-a spus celor de la BleepingComputer că nu poate împărtăși alte detalii tehnice, deoarece nu doresc să informeze escrocii despre ce funcționează, însă se știe că actorii amenințărilor folosesc aceste instrumente pentru a implementa malware.
Sunt utilizatori care s-au întrebat dacă aceste convertoare gratuite de documente pot duce la atacuri malware și ransomware, iar răspunsul este da.
Săptămâna trecută, cercetătorul în securitate cibernetică Will Thomas a distribuit câteva site-uri care pretindeau a fi convertoare de documente online, cum ar fi docu-flex.com și pdfixers.com.
Deși aceste site-uri nu mai sunt disponibile, au distribuit executabile Windows numite Pdfixers.exe [VirusTotal] și DocuFlex.exe [VirusTotal], care sunt ambele detectate ca malware.
Un cercetător în securitate cibernetică cunoscut pentru urmărirea infecției cu Gootloader a raportat și în noiembrie despre o campanie de publicitate Google care promova site-uri false de conversie de fișiere. Aceste site-uri pretindeau că vor converti fișierele, dar au determinat utilizatorii să descarce programul malware Gootloader.
„Vizitând acest site WordPress (surpriză!), am găsit un formular pentru încărcarea unui PDF pentru a-l converti într-un fișier .DOCX în interiorul unui .zip”, a explicat cercetătorul.
„Dar după ce trec anumite verificări – fiind dintr-o țară vorbitoare de limbă engleză și nu au vizitat în ultimele 24 de ore aceeași subrețea de clasă C – utilizatorii primesc în schimb un fișier cu estensia .JS în interiorul .zip, mai degrabă decât un .DOCX autentic.”
Acest fișier JavaScript este Gootloader, un încărcător de programe malware cunoscut pentru descărcarea de programe malware suplimentare, cum ar fi troieni bancari, infostealers – software care fură informații, instrumente de descărcare malware și instrumente post-exploatare, cum ar fi Cobalt Strike.
Folosind aceste încărcături suplimentare, hackerii compromit rețelele corporative și se răspândesc lateral către alte computere. Atacuri ca acestea au dus la atacuri ransomware complete în trecut, cum ar fi cele ale REvil și BlackSuit.
Deși nu toate convertoarele de fișiere sunt malware, este esențial să le cercetați înainte de a folosi și să verificați recenziile înainte de a descărca orice program.
Dacă un site este relativ necunoscut, este mai bine să îl evitați cu totul.
Dacă utilizați un convertor de fișiere online sau un program de descărcare, asigurați-vă că analizați orice fișier rezultat de pe site, și dacă conțin un executabil sau un JavaScript, cu siguranță este malware.
