💬 Второнняя кампания предназначена для крипто -кошельки с фальшивым программным обеспечением для преобразования PDF

Второнняя кампания предназначена для крипто -кошельки с фальшивым программным обеспечением для преобразования PDF

Кампания вредоносных программ использует поддельные PDF в Docx Converters в качестве вектора для подражания вредоносных команд PowerShell на машины, что позволяет злоумышленнику получить доступ к крипто -кошелькам, угнать учетные данные браузера и украсть информацию.

После предупреждения ФБР в прошлом месяце группа исследований в области безопасности Cloudsek провела расследование, раскрывающее подробности о атак.

Цель состоит в том, чтобы обмануть пользователей к выполнению команды PowerShell, которая устанавливает вредоносное ПО ArechClient2, вариант Sectoprat, информацию о краже информации, известной для получения конфиденциальных данных от жертв.

Злодие веб -сайты выдают себя за веб -сайты законного преобразователя файлов pdfcandy, но вместо загрузки реального программного обеспечения загружается вредоносное ПО. На сайте есть загруженные полосы и даже проверку CAPTCHA, чтобы усыпить пользователей в ложное чувство безопасности.

В конечном счете, после нескольких перенаправлений, машина жертвы загружает файл «adobe.zip», содержащий полезную нагрузку, - направляя устройство на троян с удаленным доступом, который работает с 2019 года.

Это оставляет пользователей открытыми для кражи данных, включая учетные данные браузера и информацию о криптовалютном кошельке.

Удолошительное ПО «проверяет магазины расширения, поднимает семенные фразы и даже поступает в API Web3 к активам с призраками-дренаж после одобрения»,-сказал Decrypt Стивен Аджайи, техническое лидерство DAPP Audit в безопасности Blockchain Security Form Hacken.

Cloudsek посоветовал людям использовать антивирусное и противоматурное программное обеспечение, а также «проверить типы файлов за пределы только расширений, так как вредоносные файлы часто маскируются как законные типы документов».

Фирма по кибербезопасности также советует, чтобы пользователи полагались на «надежные, авторитетные инструменты преобразования файлов с официальных веб -сайтов, а не на поиск« бесплатных онлайн -преобразователей файлов », и для рассмотрения использования« автономных инструментов преобразования, которые не требуют загрузки файлов на удаленные серверы ».

Аджаи Хакена посоветовал пользователям крипто -клиентов помнить, что «доверие - это спектр, он заработан, не данный. В кибербезопасности предположим, что ничто не безопасно по умолчанию». Он добавил, что они должны: «Применить мышление с нулевым доверием и держать свой стек безопасности в курсе, особенно инструменты EDR и AV, которые могут помечать поведенческие аномалии, такие как Rogue Msbuild.exe Activity».

«Злоумышленники постоянно развиваются и должны защищать»,-отметил Аджайи, добавив, что «регулярное обучение, ситуационная осведомленность и сильное покрытие обнаружения необходимы. Оставайтесь скептически настроены, готовитесь к сценариям худшего случая и всегда имеют тестируемый воспроизведение отклика».