惡意軟件活動利用假冒PDF轉DOCX轉換器進行攻擊
一個惡意軟件活動正在利用假冒PDF轉DOCX轉換器作為潛入惡意PowerShell命令的途徑,這使得攻擊者能夠訪問加密錢包、劫持瀏覽器憑據並竊取信息。
根據上個月的FBI警報,CloudSEK安全研究團隊進行了調查,揭示了有關這些攻擊的細節。
其目的是欺騙用戶執行一個PowerShell命令,該命令安裝Arechclient2惡意軟件,這是一種SectopRAT的變種,屬於一個已知的竊取信息的家族,專門收集受害者的敏感數據。
這些惡意網站冒充合法的文件轉換器PDFCandy,但不是加載真正的軟件,而是下載惡意軟件。該網站具有加載條,甚至還有CAPTCHA驗證,以使用戶產生錯誤的安全感。
最終,經過幾次重定向後,受害者的機器下載了一個包含有效載荷的“adobe.zip”文件——使設備暴露於自2019年以來一直活躍的遠程訪問木馬(Remote Access Trojan)中。
這使得用戶面臨數據盜竊的風險,包括瀏覽器憑據和加密貨幣錢包信息。
區塊鏈安全公司Hacken的Dapp Audit技術負責人Stephen Ajayi告訴Decrypt,該惡意軟件“檢查擴展商店、竊取種子短語,甚至利用Web3 API在批准後無聲無息地提取資產。”
CloudSEK建議人們使用防病毒和反惡意軟件軟件,並“超越擴展名驗證文件類型,因為惡意文件通常偽裝成合法的文檔類型。”
這家網絡安全公司還建議用戶依賴“來自官方網站的可信、可靠的文件轉換工具,而不是搜索’免費在線文件轉換器’”,並考慮使用“無需將文件上傳到遠程伺服器的離線轉換工具。”
Ajayi 建議加密貨幣用戶記住,“信任是個光譜,它是贏得的,而不是給予的。在網絡安全中,假設沒有任何東西是安全的。”他補充說,用戶應該“採用零信任心態,並保持安全堆棧的更新,特別是能夠標記行為異常(如流氓msbuild.exe活動)的EDR和AV工具。”
Ajayi指出,“攻擊者不斷演變,防禦者也應如此,”並補充說,“定期培訓、情境意識和強大的檢測覆蓋至關重要。保持懷疑,為最壞情況做好準備,並始終準備好測試過的應對手冊。”