A FBI está alertando que falsos conversores de documentos online estão sendo usados para roubar informações pessoais e, nos piores cenários, para implantar ransomware nos dispositivos das vítimas.
O alerta foi emitido na semana passada pelo escritório de campo do FBI em Denver, após receber um número crescente de relatórios sobre esses tipos de ferramentas.
"O escritório de campo do FBI em Denver alerta que está vendo cada vez mais um golpe envolvendo ferramentas gratuitas online de conversão de documentos, e queremos incentivar as vítimas a relatar instâncias desse golpe", diz o aviso.
Neste cenário, criminosos usam ferramentas gratuitas online de conversão de documentos para carregar malware nos computadores das vítimas, levando a incidentes como ransomware.
O FBI diz que os cibercriminosos estão criando websites que promovem conversores de documentos gratuitos, ferramentas de download ou ferramentas de mesclagem de arquivos.
"Para conduzir esse esquema, cibercriminosos ao redor do globo estão usando qualquer tipo de ferramenta gratuita de conversão de documentos ou ferramenta de download.
Isso pode ser um site que alega converter um tipo de arquivo para outro, como um arquivo .doc para um arquivo .pdf", continuou o FBI.
Isso também pode alegar combinar arquivos, como juntar vários arquivos .jpg em um único arquivo .pdf.
O programa suspeito pode alegar ser uma ferramenta de download de MP3 ou MP4.
Embora as ferramentas online funcionem conforme anunciado, o FBI diz que o arquivo resultante pode também conter malware oculto que pode ser usado para obter acesso remoto ao dispositivo infectado.
O FBI também diz que os documentos carregados também podem ser vasculhados em busca de informações sensíveis, como nomes, números de segurança social, seeds de criptomoedas, passphrases, endereços de carteiras, endereços de email, senhas e informações bancárias.
O escritório de campo do FBI em Denver informou que as pessoas estão relatando esses golpes para o IC3.gov, com uma entidade do setor público relatando o golpe na região metropolitana de Denver nas últimas três semanas.
"Os golpistas tentam imitar URLs que são legítimas – então mudam apenas uma letra, ou 'INC' em vez de 'CO'", disse Vikki Migoya, do Gabinete de Assuntos Públicos do FBI em Denver.
Usuários que no passado digitavam 'conversor de arquivos online gratuito' em um mecanismo de busca estão vulneráveis, pois os algoritmos usados para resultados agora muitas vezes incluem resultados pagos, que podem ser golpes.
Enquanto o FBI disse que não podia compartilhar mais detalhes técnicos, pois isso permitiria aos golpistas saber o que está funcionando, atores de ameaças têm sido conhecidos por utilizar essas ferramentas para implantar malware.
Alguns questionaram se esses conversores de documentos gratuitos podem levar a ataques de malware e ransomware, e a resposta é sim.
Na semana passada, o pesquisador de cibersegurança Will Thomas compartilhou alguns sites que afirmavam ser conversores de documentos online, como docu-flex[.]com e pdfixers[.]com.
Embora esses sites não estejam mais disponíveis, eles distribuíam executáveis do Windows nomeados Pdfixers.exe [VirusTotal] e DocuFlex.exe [VirusTotal], ambos detectados como malware.
Um pesquisador de cibersegurança conhecido por rastrear a infecção Gootloader também relatou em novembro sobre uma campanha de publicidade no Google que promovia falsos sites de conversor de arquivos.
Esses sites fingiam converter seus arquivos, mas em vez disso faziam você baixar o malware Gootloader.
"Visitando esse site em WordPress (surpresa!), encontrei um formulário para carregar um PDF para convertê-lo em um arquivo .DOCX dentro de um .zip", explicou o pesquisador.
Mas, após passar por certas verificações—ser de um país de língua inglesa e não ter visitado nas últimas 24 horas na mesma sub-rede de classe C—os usuários em vez disso recebem um arquivo .JS dentro do .zip em vez de um genuíno .DOCX.
Esse arquivo JavaScript é o Gootloader, um carregador de malware conhecido por baixar malware adicional, como trojans bancários, infostealers, downloaders de malware e ferramentas pós-exploração, como beacons do Cobalt Strike.
Usando esses payloads adicionais, os atores de ameaças invadem redes corporativas e se espalham lateralmente para outros computadores.
Ataques como esses levaram a ataques completos de ransomware no passado, como os realizados por REvil e BlackSuit.
Embora nem todos os conversores de arquivos sejam malwares, é essencial pesquisá-los antes de usar e verificar resenhas antes de baixar quaisquer programas.
Se um site é relativamente desconhecido, é melhor evitá-lo completamente.
Se você usa um conversor de arquivos online ou ferramenta de download, certifique-se de analisar qualquer arquivo resultante do site, pois se eles forem um executável ou JavaScript, com certeza são maliciosos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...