HackerNews 编译,转载请注明出处:
联邦调查局警告称,假冒的在线文档转换器被用于窃取个人信息,在最坏的情况下,还会在受害者的设备上部署勒索软件。
上周,联邦调查局丹佛野外办公室在接到关于这些工具的报告不断增加后发出了警告。
“联邦调查局丹佛野外办公室警告说,特工们越来越多地看到一种涉及免费在线文档转换工具的骗局,我们希望鼓励受害者报告这种骗局的实例,”警告中写道。
“在这种情况下,犯罪分子使用免费的在线文档转换工具将恶意软件加载到受害者的计算机上,导致勒索软件等事件。”
联邦调查局表示,网络犯罪分子正在创建推广免费文档转换、下载工具或文件合并工具的网站。
“为了实施这一计划,全球的网络犯罪分子正在使用任何类型的免费文档转换器或下载器工具。这可能是一个声称将一种文件类型转换为另一种文件类型的网站,例如将.doc文件转换为.pdf文件,”联邦调查局继续说道。
“它也可能声称合并文件,例如将多个.jpg文件合并成一个.pdf文件。嫌疑程序可能声称是一个MP3或MP4下载工具。”
虽然这些在线工具按宣传工作,但联邦调查局表示,生成的文件可能还包含隐藏的恶意软件,可用于获取受感染设备的远程访问权限。
联邦调查局还表示,上传的文档也可能被刮取敏感信息,如姓名、社会安全号码、加密货币种子、密码短语、钱包地址、电子邮件地址、密码和银行信息。
联邦调查局丹佛野外办公室告诉BleepingComputer,人们正在向IC3.gov报告这些骗局,过去三周内,丹佛都会区的一个公共部门实体报告了这一骗局。
“骗子试图模仿合法的URL——所以只改一个字母,或者用‘INC’代替‘CO’,”联邦调查局丹佛公共事务办公室的维姬·米戈亚告诉BleepingComputer。
“过去,用户会在搜索引擎中输入‘免费在线文件转换器’,他们很容易受到攻击,因为结果所使用的算法现在经常包括付费结果,这些结果可能是骗局。”
虽然联邦调查局告诉BleepingComputer,他们不能分享任何进一步的技术细节,因为这会让骗子知道什么是有效的,但威胁行为者已被知利用这些工具部署恶意软件。
有人质疑这些免费的文档转换器是否会导致恶意软件和勒索软件攻击,答案是肯定的。
上周,网络安全研究员威尔·托马斯分享了一些声称是在线文档转换器的网站,如docu-flex[.]com和pdfixers[.]com。
虽然这些网站已不再可用,但它们分发了名为Pdfixers.exe [VirusTotal]和DocuFlex.exe [VirusTotal]的Windows可执行文件,这两个文件都被检测为恶意软件。
一位以追踪Gootloader感染而闻名的网络安全研究员在11月报告说,有一个谷歌广告活动推广假冒的文件转换器网站。这些网站假装转换你的文件,但实际上会让你下载Gootloader恶意软件。
“访问这个WordPress网站(惊喜!),我发现了一个表单,用于上传PDF以将其转换为.zip文件中的.docx文件,”研究员解释道。
“但在通过某些检查后——来自英语国家,并且在过去的24小时内在同一个C类子网上没有访问过——用户收到的是.zip文件中的.js文件,而不是真正的.docx文件。”
这个JavaScript文件是Gootloader,一种以下载额外恶意软件而闻名的恶意软件加载器,如银行木马、信息窃取程序、恶意软件下载器和后利用工具,如Cobalt Strike信标。
利用这些额外的有效载荷,威胁行为者侵入公司网络,并横向扩展到其他计算机。像这样的攻击过去已经导致了全面的勒索软件攻击,如REvil和BlackSuit的攻击。
虽然并非所有文件转换器都是恶意软件,但在使用前进行研究并在下载任何程序前查看评论是必要的。
如果一个网站相对不知名,最好完全避免使用它。
如果你使用在线文件转换器或下载器,一定要分析网站生成的任何文件,因为如果它们是可执行文件或JavaScript文件,它们几乎肯定是恶意的。
消息来源:Bleeping Computer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
