Campaña de malware mediante convertidores de PDF
Una campaña de malware está utilizando falsos convertidores de PDF a DOCX como vector para introducir comandos maliciosos de PowerShell en los equipos. Esto permite que los atacantes accedan a billeteras de criptomonedas, secuestren credenciales de navegador y roben información.
Tras una alerta del FBI el mes pasado, el equipo de investigación de seguridad de CloudSEK llevó a cabo una investigación que revela detalles sobre estos ataques. El objetivo es engañar a los usuarios para que ejecuten un comando de PowerShell que instala el malware Arechclient2, una variante de SectopRAT, que se conoce por robar información sensible de las víctimas.
Funcionamiento de los ataques
Los sitios web maliciosos suplantan al legítimo conversor de archivos PDFCandy; sin embargo, en lugar de descargar el software real, se descarga malware. Los sitios presentan barras de carga e, incluso, verificación CAPTCHA para engañar a los usuarios y darles una falsa sensación de seguridad.
Después de varios redireccionamientos, la máquina de la víctima descarga un archivo “adobe.zip” que contiene el payload, exponiendo el dispositivo al troyano de acceso remoto, activo desde 2019. Esto deja a los usuarios vulnerables al robo de datos, incluyendo credenciales del navegador e información de billeteras de criptomonedas.
Declaraciones de expertos en seguridad
“El malware verifica tiendas de extensiones, extrae frases semilla e incluso accede a APIs de Web3 para drenar activos no detectados tras la aprobación”.
Recomendaciones de seguridad
CloudSEK aconsejó a las personas que utilicen software antivirus y antimalware, y que “verifiquen los tipos de archivos más allá de solo las extensiones, ya que los archivos maliciosos a menudo se disfrazan como documentos legítimos”. La firma de ciberseguridad también recomendó a los usuarios que confíen en herramientas de conversión de archivos de fuentes confiables y reputadas, utilizando sitios web oficiales en lugar de buscar “convertidores de archivos en línea gratuitos” y que consideren emplear herramientas de conversión fuera de línea que no requieran subir archivos a servidores remotos.
Perspectivas sobre la ciberseguridad
“La confianza es un espectro, se gana y no se otorga. En ciberseguridad, asuma que nada es seguro por defecto”.
Ajayi también instó a “aplicar una mentalidad de cero confianza y mantener actualizada su pila de seguridad, especialmente las herramientas EDR y AV que pueden detectar comportamientos anómalos como actividades sospechosas de msbuild.exe”.
“Los atacantes evolucionan constantemente y, por ello, también deben hacerlo los defensores. La capacitación regular, la conciencia situacional y una sólida cobertura de detección son esenciales. Manténgase escéptico, prepárese para los peores escenarios y siempre tenga a mano un manual de respuesta probado y listo para usar”.
