El FBI advierte que se están utilizando convertidores de documentos falsos en línea para robar información personal y, en el peor de los casos, para instalar ransomware en los dispositivos de las víctimas.
Aunque no todos los convertidores de archivos son malware, es fundamental investigarlos antes de usarlos y consultar las reseñas antes de descargar cualquier programa.
La advertencia llegó la semana pasada desde la oficina local del FBI en Denver, tras recibir un número creciente de informes sobre este tipo de herramientas. "La Oficina Local del FBI en Denver advierte que los agentes están detectando con cada vez mayor frecuencia estafas relacionadas con herramientas gratuitas de conversión de documentos en línea, y queremos animar a las víctimas a denunciar los casos de esta estafa", se lee en la advertencia.
El FBI afirma que los ciberdelincuentes están creando sitios web que promocionan herramientas gratuitas de conversión de documentos, descarga y fusión de archivos. En este caso, los delincuentes utilizan herramientas gratuitas de conversión de documentos en línea para instalar malware en los ordenadores de las víctimas, lo que provoca incidentes como el ransomware.
Para llevar a cabo esta acción, utilizan cualquier tipo de herramienta gratuita de conversión o descarga de documentos. Podría tratarse de un sitio web que afirma convertir un tipo de archivo a otro, como un archivo .DOC a un archivo .PDF. También podría afirmar combinar archivos, como unir varios archivos .JPG en uno solo .PDF. El programa sospechoso podría afirmar ser una herramienta de descarga de MP3 o MP4.
Si bien las herramientas en línea funcionan según lo anunciado, el FBI afirma que el archivo resultante también podría contener malware oculto que puede utilizarse para obtener acceso remoto al dispositivo infectado. El FBI también afirma que los documentos subidos pueden ser extraídos para obtener información confidencial, como nombres, números de seguro social, semillas de criptomonedas, frases de contraseña, direcciones de billetera, direcciones de correo electrónico, contraseñas e información bancaria.
"Los usuarios que antes buscan 'convertidor de archivos en línea gratuito' en un motor de búsqueda son vulnerables, ya que los algoritmos utilizados para los resultados ahora suelen incluir resultados de pago, que podrían ser fraudulentos".
Se sabe que los actores de amenazas utilizan estas herramientas para distribuir malware. La semana pasada, el investigador de ciberseguridad Will Thomas compartió algunos sitios que afirmaban ser convertidores de documentos en línea, como docu-flex[.]com y pdfixers[.]com.
Aunque estos sitios ya no están disponibles, distribuían ejecutables de Windows llamados Pdfixers.exe [VirusTotal] y DocuFlex.exe [VirusTotal], ambos detectados como malware.
Un investigador de ciberseguridad conocido por rastrear la infección de Gootloader también informó en noviembre sobre una campaña publicitaria de Google que promocionaba sitios web falsos de conversión de archivos. Estos sitios simulaban convertir archivos, pero en realidad provocaban la descarga del malware Gootloader. "Al visitar este sitio de WordPress (¡sorpresa!), encontré un formulario para subir un PDF y convertirlo a un archivo .DOCX dentro de un .ZIP", explicó el investigador.
"Pero tras pasar ciertas comprobaciones (ser de un país angloparlante y no haber visitado la misma subred de clase C en las últimas 24 horas), los usuarios reciben un archivo .JS dentro del .ZIP en lugar de un .DOCX genuino". Este archivo JavaScript es Gootloader, un cargador de malware conocido por descargar malware adicional, como troyanos bancarios, ladrones de información, descargadores de malware y herramientas de post-explotación, como Cobalt Strike o Havoc.
Utilizando estas cargas útiles adicionales, los actores de amenazas vulneran las redes corporativas y se propagan lateralmente a otros equipos. Ataques como estos han provocado ataques de ransomware en el pasado, como los de REvil y BlackSuit.
Si un sitio es relativamente desconocido, es mejor evitarlo por completo. Si utiliza un convertidor o descargador de archivos en línea, asegúrese de analizar cualquier archivo resultante del sitio, ya que, si es un ejecutable o JavaScript, sin duda es malicioso.
Fuente: BC