Кампания вредоносных программ использует поддельные PDF в Docx Converters в качестве вектора для подражания вредоносных команд PowerShell на машины, что позволяет злоумышленнику получить доступ к крипто -кошелькам, угнать учетные данные браузера и украсть информацию.
После предупреждения ФБР в прошлом месяце группа исследований в области безопасности Cloudsek провела расследование, раскрывающее подробности о атак.
Цель состоит в том, чтобы обмануть пользователей к выполнению команды PowerShell, которая устанавливает вредоносное ПО ArechClient2, вариант Sectoprot, информационную, кражущую семью, известную для получения конфиденциальных данных от жертв.
Злодие веб -сайты выдают себя за веб -сайты законного преобразователя файлов pdfcandy, но вместо загрузки реального программного обеспечения загружается вредоносное ПО. На сайте есть загруженные полосы и даже проверку CAPTCHA, чтобы усыпить пользователей в ложное чувство безопасности.
В конечном счете, после нескольких перенаправлений, машина жертвы загружает файл «Adobe.zip», содержащий полезную нагрузку, — выводя устройство на троян с удаленным доступом, который действует с 2019 года.
Это оставляет пользователей открытыми для кражи данных, включая учетные данные браузера и информацию о криптовалютном кошельке.
Удолошительное ПО «проверяет расширение хранилище, поднимает семенные фразы и даже вступает в API Web3 к активам с призраками призрака после одобрения»,-сказал Стивен Аджайи, DAPP Audit в компании по безопасности Blockchain Hacken, сказал ДешифроватьПолем
Cloudsek посоветовал людям использовать антивирусное и противоматурное программное обеспечение, а также «проверить типы файлов за пределы только расширений, так как вредоносные файлы часто маскируются как законные типы документов».
Фирма по кибербезопасности также советует, чтобы пользователи полагались на «надежные, авторитетные инструменты преобразования файлов с официальных веб -сайтов, а не на поиск« бесплатных онлайн -преобразователей файлов », и для рассмотрения использования« автономных инструментов преобразования, которые не требуют загрузки файлов на удаленные серверы ».
Аджайя Хакена посоветовал пользователям крипто -клиентов помнить, что «доверие — это спектр, он заработан, не данный. В кибербезопасности предположим, что ничто не безопасно по умолчанию». Он добавил, что они должны: «Применить мышление с нулевым доверием и держать свой стек безопасности в курсе, особенно инструменты EDR и AV, которые могут помечать поведенческие аномалии, такие как Rogue Msbuild.exe Activity».
«Злоумышленники постоянно развиваются и должны защищать»,-отметил Аджайи, добавив, что «регулярное обучение, ситуационная осведомленность и сильное покрытие обнаружения необходимы. Оставайтесь скептически настроены, готовитесь к сценариям худшего случая и всегда имеют тестируемый воспроизведение отклика».
