Campagne de Malware via Faux Convertisseurs PDF
Une campagne de malware utilise de faux convertisseurs PDF en DOCX comme vecteur pour infiltrer des commandes PowerShell malveillantes sur les machines. Cela permet aux attaquants d’accéder aux portefeuilles de cryptomonnaie, de détourner les identifiants de navigateur et de voler des informations sensibles. Suite à une alerte du FBI le mois dernier, l’équipe de recherche en sécurité CloudSEK a mené une enquête qui a révélé des détails sur ces attaques.
Objectif de la Campagne
L’objectif de cette campagne est de tromper les utilisateurs en les incitant à exécuter une commande PowerShell qui installe le malware Arechclient2, une variante de SectopRAT, une famille de logiciels malveillants connue pour le vol d’informations. Les sites Web malveillants imitent ceux du convertisseur de fichiers légitime PDFCandy. Toutefois, à la place du véritable logiciel, c’est le malware qui est téléchargé. Ces sites présentent des barres de chargement et incluent même une vérification CAPTCHA pour plonger les utilisateurs dans un faux sentiment de sécurité.
Après plusieurs redirections, la machine de la victime télécharge un fichier nommé “adobe.zip” contenant la charge utile, exposant ainsi l’appareil à un Trojan d’accès à distance, qui est actif depuis 2019. Cela laisse les utilisateurs vulnérables au vol de données, notamment les identifiants de navigateur et les informations liées à leurs portefeuilles de cryptomonnaie.
Le malware “vérifie les magasins d’extensions, soulève des phrases de récupération et accède même aux API Web3 pour siphonner des actifs après approbation”, a déclaré Stephen Ajayi, responsable technique de Dapp Audit chez la société de sécurité blockchain Hacken, à Decrypt.
Conseils de Sécurité
CloudSEK recommande d’utiliser des logiciels antivirus et antimalware, et de “vérifier les types de fichiers au-delà des simples extensions, car les fichiers malveillants se déguisent souvent en types de documents légitimes.”
La société de cybersécurité conseille également de se tourner vers des outils de conversion de fichiers fiables et réputés, provenant de sites officiels, plutôt que de rechercher des ‘convertisseurs de fichiers en ligne gratuits’. Ils suggèrent aussi d’envisager l’utilisation d’‘outils de conversion hors ligne’ qui ne nécessitent pas le téléchargement de fichiers sur des serveurs distants.
Ajayi de Hacken rappelle aux utilisateurs de cryptomonnaies que “la confiance est un spectre, elle se mérite, elle n’est pas donnée. En cybersécurité, supposez que rien n’est sûr par défaut.” Il recommande d’appliquer une mentalité de zéro confiance et de maintenir leur pile de sécurité à jour, notamment les outils de détection et réponse aux menaces (EDR) et les antivirus (AV) qui peuvent signaler des anomalies comportementales telles qu’une activité rogue de msbuild.exe.
“Les attaquants évoluent constamment, et les défenseurs devraient en faire de même,” a noté Ajayi, ajoutant que “la formation régulière, la conscience situationnelle et une couverture de détection solide sont essentielles. Restez sceptiques, préparez-vous aux pires scénarios et ayez toujours un plan de réponse testé prêt à l’emploi.”
