Кампания вредоносного ПО
Недавняя кампания вредоносного ПО использует поддельные конвертеры PDF в DOCX в качестве средства для внедрения вредоносных команд PowerShell на устройства пользователей. Это позволяет злоумышленнику получить доступ к криптокошелькам, захватить учетные данные браузера и украсть личную информацию.
Расследование CloudSEK
После предупреждения ФБР в прошлом месяце, команда CloudSEK Security Research провела расследование, раскрывающее детали этих атак. Цель злоумышленников заключается в том, чтобы обмануть пользователей и заставить их выполнить команду PowerShell, которая устанавливает вредоносное ПО Arechclient2, являющееся вариантом SectopRAT. Данное семейство программ уже известно тем, что крадет чувствительные данные у своих жертв.
Методы атаки
Вредоносные веб-сайты притворяются легитимным конвертером файлов PDFCandy, но вместо загрузки настоящего программного обеспечения устанавливается вредоносная программа. Сайт включает индикаторы загрузки и даже проверку CAPTCHA, чтобы успокоить пользователей и создать ложное чувство безопасности. В результате, после нескольких перенаправлений, компьютер жертвы загружает файл «adobe.zip», содержащий вредоносный код, который подвергает устройство риску от удалённого трояна, активного с 2019 года.
Это делает пользователей уязвимыми для кражи данных, включая учетные записи браузера и информацию о криптокошельках.
Способы защиты
CloudSEK призвал людей использовать антивирусное и антивредоносное программное обеспечение, а также «проверять типы файлов не только по расширениям, так как вредоносные файлы часто маскируются под законные типы документов».
Кибербезопасная компания также советует пользователям полагаться на «доверенные и авторитетные инструменты конвертации файлов с официальных сайтов, а не искать ‘бесплатные онлайн конвертеры файлов'» и рассмотреть возможность использования «офлайн инструментов конвертации, которые не требуют загрузки файлов на удаленные серверы».
Рекомендации от экспертов
Аджай из Hacken посоветовал криптопользователям помнить, что «доверие — это спектр, оно зарабатывается, а не даётся. В кибербезопасности лучше предполагать, что ничего не безопасно по умолчанию». Он добавил, что пользователи должны «принимать подход нулевого доверия и поддерживать актуальность своего стека безопасности, особенно EDR и AV-инструментов, которые способны выявлять аномалии в поведении, такие как активность rogue msbuild.exe.»
«Атакующие постоянно эволюционируют, и защитники также должны» — заметил Аджай, подчеркивая важность регулярного обучения, ситуационной осведомленности и надежного обнаружения угроз. Он призвал оставаться скептическими, готовыми к наихудшим сценариям и всегда иметь наготове проверенные инструкции по реагированию на инциденты.
