Uma campanha de malware está usando conversores falsos de PDF para DOCX como vetor para infiltrar comandos maliciosos do PowerShell em máquinas, permitindo que o atacante acesse carteiras de criptomoedas, sequestre credenciais de navegadores e roube informações.
Após um alerta do FBI no mês passado, a equipe de pesquisa de segurança da CloudSEK conduziu uma investigação que revelou detalhes sobre os ataques.
O objetivo é enganar os usuários para que executem um comando do PowerShell que instala o malware Arechclient2, uma variante do SectopRAT, uma família de malwares especializada em roubo de informações sensíveis das vítimas.
Os sites maliciosos imitam o legítimo conversor de arquivos PDFCandy, mas em vez de carregar o software verdadeiro, o malware é baixado. O site apresenta barras de carregamento e até verificação CAPTCHA para criar uma falsa sensação de segurança nos usuários.
Eventualmente, após vários redirecionamentos, a máquina da vítima baixa um arquivo “adobe.zip” contendo a carga maliciosa — expondo o dispositivo ao Trojan de Acesso Remoto (Remote Access Trojan), ativo desde 2019.
Isso deixa os usuários vulneráveis a roubo de dados, incluindo credenciais de navegadores e informações de carteiras de criptomoedas.
O malware “verifica lojas de extensões, rouba frases-semente e até acessa APIs Web3 para drenar ativos furtivamente após aprovação”, disse Stephen Ajayi, líder técnico de auditoria Dapp da empresa de segurança blockchain Hacken, ao Decrypt.
Leia Também
A CloudSEK aconselhou as pessoas a usarem softwares antivírus e antimalware, e a “verificar os tipos de arquivos além das extensões, pois arquivos maliciosos muitas vezes se disfarçam como tipos de documentos legítimos.”
A empresa de cibersegurança também recomenda que os usuários confiem apenas em “ferramentas de conversão de arquivos confiáveis e de sites oficiais, em vez de procurar por ‘conversores de arquivos online gratuitos’”, além de considerar o uso de “ferramentas de conversão offline que não exijam o upload de arquivos para servidores remotos.”
Ajayi, da Hacken, aconselhou usuários de criptoativos a lembrar que “confiança é um espectro; ela é conquistada, não dada. Em cibersegurança, assuma que nada é seguro por padrão.” Ele acrescentou que devem “adotar uma mentalidade de confiança zero e manter a pilha de segurança atualizada, especialmente ferramentas EDR e antivírus que podem detectar anomalias comportamentais como atividades suspeitas do msbuild.exe.”
“Os atacantes evoluem constantemente, e os defensores também devem evoluir”, destacou Ajayi, acrescentando que “treinamentos regulares, consciência situacional e uma cobertura de detecção forte são essenciais. Mantenha o ceticismo, prepare-se para cenários de pior caso e sempre tenha um plano de resposta testado e pronto para ser usado.”
* Traduzido e editado com autorização do Decrypt.
- Você costuma enviar dinheiro para o exterior? O MB está estudando uma solução de pagamentos que promete tornar as transferências com cripto muito mais simples. Clique aqui para responder uma pesquisa e ajudar a construir algo que faça sentido para você!
