最近,网络安全圈炸开了一锅新瓜——知名在线文件转换平台PDFCandy.com竟被黑客“高仿”,成了传播恶意软件的温床。安全公司CloudSEK最新报告揭露,攻击者通过伪造的PDF转DOCX工具,向全球用户投递名为ArechClient2的信息窃取木马。这场精心策划的骗局,不仅技术手段刁钻,连FBI都曾点名警告。
一场“像素级复刻”的钓鱼大戏
PDFCandy.com作为全球超250万用户的文件转换工具,在印度就有50万忠实粉丝。然而,黑客们盯上了这块肥肉,直接复制了原网站的界面和功能,甚至注册了相似域名(比如pdfcandy[.]co或pdf-candy[.]net)。用户在搜索引擎或广告中稍不留神,就会掉进这个“孪生陷阱”。
更离谱的是,假网站连“用户体验”都做了全套:上传文件后,页面会播放一段虚假的转换动画,假装正在处理文档,甚至弹出“CAPTCHA验证码”增加可信度。正当用户以为一切正常时,真正的杀招才浮出水面——网站会要求用户在PowerShell中执行一段神秘代码。
从“点个验证码”到“系统沦陷”
你以为CAPTCHA只是防机器人?在这里,它成了社会工程学的完美道具。CloudSEK研究人员指出,攻击者利用用户对验证码的熟悉感,降低警惕性,随后诱导其运行恶意命令。这条指令看似无害,实则通过多层跳转,最终下载一个名为adobe.zip的压缩包,内含伪装成音频工具的“SoundBAND/audiobitexe.exe”。
一旦执行,木马便会激活ArechClient2——这款2019年活跃至今的SectopRAT家族成员,能悄无声息地窃取浏览器密码、Cookie,甚至接管系统控制权。更讽刺的是,攻击全程借助了Windows原生工具,完美绕过部分安全软件的监控。
FBI警告:免费转换器=高危雷区?
其实,这类攻击早有苗头。今年3月,FBI就曾公开警示:“免费在线文件转换器已成恶意软件重灾区”。无论是PDF转Word、合并JPG文件,还是下载MP3/MP4的“神器”,都可能暗藏杀机。攻击者深谙用户心理——人们总愿意为“免费便捷”承担风险,却不知一次点击就足以让隐私裸奔。
如何避开“李鬼网站”?记住这4招:
-
域名盯仔细:真官网是pdfcandy.com,多一个字母、少一个横杠都要警惕。
-
拒绝陌生指令:任何要求运行PowerShell或CMD命令的网站,直接关闭!
-
手动输入网址:别依赖搜索引擎广告,收藏官方链接最保险。
-
启用双重验证:重要账户开启二次验证,即使密码泄露也能守住最后防线。
这场“真假美猴王”的戏码,再次印证了黑客的狡猾——他们不再依赖复杂漏洞,而是专攻人性弱点。下次遇到“免费神器”时,不妨多问一句:这馅饼,真的没毒吗?
(本文参考自CloudSEK研究报告及FBI公开警示,技术细节已作简化处理)
原文始发于微信公众号(雾都的猫):你用的PDF转换器是真是假?黑客高仿官网
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论