El FBI advierte que los documentos falsos en línea se utilizan para robar la información de las personas y, en los peores escenarios, para implementar el ransomware en los dispositivos de las víctimas.
La advertencia llegó la semana pasada desde la oficina de campo del FBI Denver, después de haber recibido un número creciente de informes sobre este tipo de herramientas.
“La Oficina de Campo del FBI Denver advierte que los agentes están viendo cada vez más una estafa que involucra herramientas gratuitas para convertidores de documentos en línea, y queremos alentar a las víctimas a informar a las autoridades de esta estafa”, dijo la advertencia.
“En este escenario, los delincuentes usan herramientas gratuitas de convertidores de documentos en línea para cargar malware en las computadoras de las víctimas, lo que lleva a incidentes como el ransomware”.
El FBI dice que los ciberdelincuentes crean sitios web que promocionan conversos de documentos gratuitos, descargar herramientas o herramientas de fusión de archivos.
“Para llevar a cabo este programa, los ciberdelincuentes de todo el mundo usan cualquier tipo de convertidor de documentos gratuito o herramienta de descarga. Podría ser un sitio web fingido convertir un tipo de archivo a otro, como un archivo .doc en un archivo .pdf”, continuó el FBI el FBI
“También podría afirmar que combinar archivos, como alcanzar varios archivos .jpg en un archivo .pdf. El programa sospechoso podría ser una herramienta de descarga MP3 o MP4”.
Aunque las herramientas en línea funcionan como se anunció, el FBI dice que el archivo resultante también puede contener malware oculto que puede usarse para obtener acceso remoto al dispositivo infectado.
El FBI también indica que los documentos descargados también se pueden rayar para obtener información confidencial, como nombres, números de seguro social, semillas de criptomonedas, oraciones, direcciones de billetera, direcciones de correo electrónico, contraseñas e información bancaria.
La oficina de campo del FBI Denver dijo que las personas informan estas estafas en IC3.gov, con una entidad del sector público que informa la estafa de Metro Denver en las últimas tres semanas.
“Los delincuentes están tratando de imitar las URL que son legítimas, por lo tanto, cambian una sola carta, o ‘Inc’ en lugar de ‘Co'”, dijo Vikki Migoya, la oficina de asuntos públicos del FBI Denver, a BleepingCompute.
“Los usuarios que en el pasado escriben el” convertidor de archivos en línea gratuito “en el motor de búsqueda son vulnerables, ya que los algoritmos utilizados para los resultados ahora a menudo incluyen resultados pagados, que pueden ser estafas”.
Si bien el FBI dijo que no podían compartir otros detalles técnicos porque permitía a Crooks saber qué funciona, se sabe que los actores de amenaza usan estas herramientas para implementar malware.
Los convertidores en línea conducen a malware
Algunos se han preguntado si estos convertidores de documentos gratuitos pueden conducir a ataques de malware y ransomware, y la respuesta es sí.
La semana pasada, investigador de ciberseguridad Will Thomas compartió ciertos sitios que afirmaban ser convertidores de documentos en línea, como DOCU-FLEX[.]com y pdfixers[.]com.
Fuente: Archive.org
Aunque estos sitios ya no están disponibles, han distribuido ejecutables de Windows llamados PDFixers.exe [VirusTotal] y docuflex.exe [VirusTotal]Quienes son detectados como malware.
A Investigador de ciberseguridad Conocido por seguir la infección de Gootloader, también informó en noviembre una campaña publicitaria de Google que promovió los sitios de convertidores de archivos falsos. Estos sitios fingieron convertir sus archivos, sino que lo llevaron a descargar el malware Gootloader.
“Visite este sitio de WordPress (¡sorpresa!), Encontré un formulario para descargar un PDF para convertirlo en un archivo .docx dentro de un .zip”, explicó el investigador.
“Pero después de haber aprobado algunos cheques, siendo de un país que habla inglés y no haber visitado en las últimas 24 horas en la misma subred de Clase C, los usuarios están más bien recibiendo un archivo .js dentro de .zip en lugar de un .docx real”.
Este archivo JavaScript es Gootloader, un cargador de malware que se sabe que descarga malware adicional, como caballos de troyano bancario, información de información, descargadores de malware y herramientas de explotación posterior, como balizas de Cobalt.
Utilizando estos cargos útiles adicionales, las partes interesadas de amenazas albergan redes comerciales y se propagan lateralmente a otras computadoras. Ataques como estos han llevado a ataques de ransomware de pleno derecho en el pasado, como los de Revip Y Combinación negra.
Aunque no todos los convertidores de archivos son software malicioso, es esencial buscarlos antes de usar y verificar las revisiones antes de descargar programas.
Si un sitio es relativamente desconocido, es mejor evitarlo por completo.
Si usa un convertidor de archivos en línea o un descargador, asegúrese de analizar cualquier archivo resultante del sitio, como si fueran un ejecutable o un JavaScript, son muy maliciosos.
Basado en un análisis de las acciones maliciosas de 14 millones, descubra las 10 técnicas principales ATTR & CK con el 93% de los ataques y cómo defenderse contra ellos.