Breve
- Una nueva campaña de malware utiliza un PDF falso para los convertidores DOCX como vector.
- Las víctimas se llevan a ejecutar un comando PowerShell, instalando el sectoprat variante ARechcient2.
- El malware puede levantar frases de semillas y dibujar en las API Web3 para drenar los ingredientes activos.
Una campaña de software malicioso utiliza un PDF falso para los convertidores Docx como vector para distorsionar los controles de PowerShell malicioso en las máquinas, lo que permite al atacante acceder a las billeteras criptográficas, la identificación del navegador de desvío y el robo de información.
Sigue a un FBI alerta mes pasado, Nube El equipo de investigación de seguridad realizó una encuesta que revela detalles sobre ataques.
El objetivo es alentar a los usuarios a ejecutar un comando PowerShell que instale el malware ARECHCLIENT2, una variante de Sectoprat, una familia de información que se sabe que recopila datos confidenciales de las víctimas.
Los sitios web maliciosos imitan el del convertidor de archivos PDFCandy legítimo, pero en lugar de cargar el software real, se descarga el malware. El sitio incluye la carga de barras e incluso la verificación Captcha para afeitar a los usuarios en una falsa sensación de seguridad.
Al final, después de varias redirecciones, la máquina de la víctima descarga un archivo “Adobe.zip” que contiene la carga útil, exhibiendo el dispositivo con acceso remoto, que ha estado activo desde 2019.
Esto deja a los usuarios abiertos al robo de datos, incluida la información de identificación del navegador e información de cartera de criptomonedas.
Malware “verifica las tiendas de extensión, aumenta las oraciones de semillas e incluso se basa en la web 3 a la bebida fantasma después de la aprobación”, dijo Stephen Ajayi, Auditoría Dapp Technel Descifrar.
Cloudsek ha aconsejado a las personas que usen antivirus y software anti-lógico, y que “verifique los tipos de archivos más allá de las extensiones, porque los archivos maliciosos a menudo están ocultos como tipos de documentos legítimos”.
La compañía de seguridad cibernética también informa que los usuarios cuentan en “herramientas de conversión de archivos confiables y de renombre de los sitios web oficiales en lugar de buscar” convertidores de archivos en línea gratuitos “, y considerando usar” herramientas de conversión fuera de línea que no requieren descargar archivos a servidores remotos “.
Ajayi de Hacken aconsejó a los usuarios de cifrado que recorden que “la confianza es un espectro, se ganan, no se da. En ciberseguridad, suponga que nada es seguro de manera predeterminada”. Agregó que deberían: “Aplicar un estado mental de confianza cero y mantener su batería de seguridad actualizada, en particular las herramientas EDR y AV que pueden señalar anomalías conductuales como Rogue MsBuild.
“Los atacantes evolucionan constantemente y, por lo tanto, los defensores deberían”, señaló Ajayi, y agregó que “el entrenamiento regular, la conciencia de la situación y la alta cobertura de detección son esenciales. Manténgase escéptico, prepárese para los peores escenarios y siempre tenga un libro de juegos de respuesta listo para usar”.
Informe diario Boletín
Comience todos los días con los mejores informes en este momento, así como características originales, un podcast, videos y más.