网络犯罪分子发起了一场精心策划的恶意软件攻击活动，他们利用了假冒的 PDF 转 DOCX 格式的转换网站，这些网站模仿了广受欢迎的合法服务平台 PDFCandy。

这些恶意网站，包括如 candyxpdf [.] com 和 candyconverterpdf [.] com 等域名，运用了一套精心设计的社会工程学策略，旨在从那些毫无防备、试图转换文档格式的用户那里获取敏感信息。

当用户尝试在这些欺诈性平台上转换文档时，他们会看到一个看似合法的界面，其中包含动画加载序列和熟悉的转换选项。

上传文件后，受害者会遇到一个虚假的验证码（CAPTCHA）验证，该验证会指示他们按下 Windows+R 组合键，然后粘贴一个经过伪装的 PowerShell 命令。当执行该命令时，就会启动一个复杂的感染链条，最终会部署名为 ArechClient2 的信息窃取恶意软件。

CloudSEK 的研究人员发现，这种恶意软件是危险的 SectopRAT 家族的一个变种，SectopRAT 家族自 2019 年以来一直活跃。

他们的分析显示，此次攻击采用了多阶段重定向过程，在从 IP 地址为 172 [.] 86 [.] 115 [.] 43 的服务器上下载恶意的 “adobe.zip” 攻击载荷之前，会先连接到像 “bind-new-connect [.] click” 这样的域名。

这次攻击的影响非常严重，因为这种恶意软件专门被设计用于从受感染的系统中窃取浏览器凭据、加密货币钱包信息以及其他敏感数据。

这次感染展示了先进的逃避检测技术，包括滥用合法的 Windows 实用程序来绕过安全控制措施。

感染机制分析

这次攻击的核心依赖于一个经过混淆处理的 PowerShell 命令，而用户会在不知不觉中执行该命令。

这个经过编码的命令会发起一个网络请求，以下载 “adobe.zip” 压缩包，该压缩包包含多个文件，其中包括恶意的可执行文件 “audiobit [.] exe”。

当这个文件被执行时，它会启动一个合法的 Windows 实用程序 MSBuild.exe，通过一种被称为 living-off-the-land的技术来加载 ArechClient2 恶意软件。

该恶意软件会执行多项可疑操作，包括注册表查询、系统信息获取以及凭据搜索。

在继续窃取包括已存储密码和加密货币钱包凭据等敏感数据之前，该恶意软件会访问机器的全局唯一标识符（GUID）、计算机名称，并检查所支持的语言。

建议用户仅使用来自官方来源的可信赖的文件转换工具，并且对于任何要求执行命令行操作的网站，无论其界面看起来多么合法，都要保持高度警惕。