FTB perspėja, kad netikri internetiniai dokumentų keitikliai naudojami pavogti tautų informaciją ir blogiausiu atveju scenarijus diegti išpirkos programą aukų įrenginiuose.
Įspėjimas praėjusią savaitę atsirado iš FTB Denverio lauko biuro, gavęs vis daugiau ataskaitų apie šių tipų įrankius.
„FTB Denverio lauko biuras įspėja, kad agentai vis dažniau mato sukčiavimą, kuriame dalyvauja nemokami internetinių dokumentų keitiklių įrankiai, ir mes norime paskatinti aukas pranešti apie šios sukčiai“, – rašoma perspėjime.
„Šiame scenarijuje nusikaltėliai naudoja nemokamus internetinių dokumentų keitiklių įrankius, kad įkeltų kenkėjišką programą į aukų kompiuterius, todėl atsiranda tokie incidentai kaip„ Ransomware “.”
FTB sako, kad „CyberCriminals“ kuria svetaines, kuriose reklamuojami nemokami dokumentų konvertuojami, atsisiunčiami įrankiai ar failų sujungimo įrankiai.
„Norėdami atlikti šią schemą, kibernetiniai nusikaltėliai visame pasaulyje naudoja bet kokio tipo nemokamą dokumentų keitiklį arba„ Downloader “įrankį. Tai gali būti svetainė, teigianti, kad vienos rūšies failas konvertuoja į kitą, pavyzdžiui, .DOC failą į .pdf failą”, – tęsė FTB
„Tai taip pat gali teigti, kad sujungti failus, pavyzdžiui, prisijungti prie kelių .jpg failų į vieną .pdf failą. Įtariamojo programa gali teigti, kad yra MP3 arba MP4 atsisiuntimo įrankis.”
Nors internetiniai įrankiai veikia kaip reklamuojama, FTB sako, kad gautame faile taip pat gali būti paslėpta kenkėjiška programa, kurią galima naudoti norint gauti nuotolinę prieigą prie užkrėsto įrenginio.
FTB taip pat sako, kad įkeltus dokumentus taip pat galima nuskaityti neskelbtinai informacijai, tokioms kaip vardai, socialinio draudimo numeriai, kriptovaliutų sėklos, pasofrazės, piniginės adresai, el. Pašto adresai, slaptažodžiai ir bankininkystės informacija.
FTB Denverio lauko biuras „Bleepingcomputer“ teigė, kad žmonės praneša apie šiuos sukčiavimus IC3.Gov, o vienas viešojo sektoriaus subjektas pranešė apie sukčiavimą Metro Denveryje per pastarąsias tris savaites.
„Sukčiai bando imituoti teisėtus URL – taigi, pakeisdami tik vieną laišką, arba„ Inc “, o ne„ Co “, -„ Bleepingcomputer “pasakojo Vikki Migoya, FLOEPINGCOMPUTTER viešųjų reikalų tarnyba.
„Vartotojai, kurie praeityje, įvestų„ nemokamą internetinį failų keitiklį “į paieškos variklį, yra pažeidžiami, nes dabar rezultatams naudojami algoritmai dažnai apima mokamus rezultatus, kurie gali būti sukčiai“.
Nors FTB sakė „Bleepingcomputer“, jie negalėjo pasidalyti jokia papildoma technine informacija, nes tai praneša sukčiams žinoti, kas veikia, grėsmės veikėjai, kaip žinoma, naudoja šias priemones kenkėjiškų programų diegimui.
Internetiniai keitikliai lemia kenkėjišką programą
Kai kurie suabejojo, ar šie nemokami dokumentų keitikliai gali sukelti kenkėjiškų programų ir išpirkos programų atakų, o atsakymas yra „taip“.
Praėjusią savaitę kibernetinio saugumo tyrėjas Will'as Tomas pasidalino kai kuriomis svetainėmis, kurios, kaip teigiama, yra internetiniai dokumentų keitikliai, tokie kaip „Docu-Flex“ (.) COM ir PDFIXERS (.) Com.
Šaltinis: Archive.org
Nors šių svetainių nebėra, jos platino „Windows“ vykdomuosius elementus, pavadintus „Pdfixers.exe“ („VirustoTal“), ir „Docuflex.exe“ („VirustoTal“), kurie abu aptinkami kaip kenkėjiškos programos.
Kibernetinio saugumo tyrėjas, žinomas dėl „GootLoader“ infekcijos stebėjimo, taip pat lapkritį pranešė apie „Google“ reklamos kampaniją, kurioje reklamuojamos padirbtų failų keitiklių svetainės. Šios svetainės apsimetė konvertuojančios jūsų failus, tačiau privertė atsisiųsti kenkėjišką „Gootloader“.
„Apsilankęs šioje„ WordPress “svetainėje (staigmena!), Radau PDF įkėlimo formą, kad ji konvertuotų ją į .Docx failą .zip viduje“, – aiškino tyrėjas.
„Bet gavę tam tikrus čekius-iš angliškai kalbančios šalies ir nesilankę per pastarąsias 24 valandas toje pačioje C klasės potinkyje-vartotojai vietoj to gauna .js failą .zip, o ne tikro .docx.”
Šis „JavaScript“ failas yra „GootLoader“, kenkėjiškų programų krautuvas, žinomas kaip atsisiunčiant papildomą kenkėjišką programą, pavyzdžiui, bankininkystės trojiečiai, infostealeriai, kenkėjiškų programų atsisiuntimų ir po ekspozicijos įrankiai, pavyzdžiui, „Cobalt Strike Beacons“.
Naudodamiesi šiais papildomais naudingaisiais kroviniais, grėsmės veikėjai pažeidžia įmonių tinklus ir pasiskirsto į šoną kitiems kompiuteriams. Tokie išpuoliai praeityje lėmė visišką išpirkos programų išpuolius, tokius kaip „Revil“ ir „Blacksit“.
Nors ne visi failų keitikliai yra kenkėjiškos programos, prieš atsisiunčiant bet kurias programas, būtina juos ištirti prieš naudojimą ir patikrinkite apžvalgas.
Jei svetainė yra gana nežinoma, geriau jos visiškai išvengti.
Jei naudojate internetinį failų keitiklį ar „Downloader“, būtinai išanalizuokite bet kurį gautą failą iš svetainės, tarsi jie būtų vykdomi ar „JavaScript“, jie tikrai yra kenksmingi.
Remdamiesi 14 m kenkėjiškų veiksmų analize, atraskite 10 geriausių „MitRAT ATT & CK“ metodų, esančių už 93% išpuolių ir kaip ginti nuo jų.
