El FBI advierte que se están utilizando convertidores de documentos falsos en
línea para robar información personal y, en el peor de los casos, para
instalar ransomware en los dispositivos de las víctimas.
Aunque no todos los convertidores de archivos son malware, es fundamental
investigarlos antes de usarlos y consultar las reseñas antes de descargar
cualquier programa.
La advertencia llegó la semana pasada desde la oficina local del FBI en
Denver, tras recibir un número creciente de informes sobre este tipo de
herramientas.
«La Oficina Local del FBI en Denver advierte que los agentes están
detectando con cada vez mayor frecuencia estafas relacionadas con
herramientas gratuitas de conversión de documentos en línea, y queremos
animar a las víctimas a denunciar los casos de esta estafa», se lee en
la advertencia.
El FBI afirma que los ciberdelincuentes están creando sitios web que
promocionan herramientas gratuitas de conversión de documentos, descarga y
fusión de archivos. En este caso, los delincuentes utilizan herramientas
gratuitas de conversión de documentos en línea para instalar malware en los
ordenadores de las víctimas, lo que provoca incidentes como el ransomware.
Para llevar a cabo esta acción, utilizan cualquier tipo de herramienta
gratuita de conversión o descarga de documentos. Podría tratarse de un sitio
web que afirma convertir un tipo de archivo a otro, como un archivo .DOC a un
archivo .PDF. También podría afirmar combinar archivos, como unir varios
archivos .JPG en uno solo .PDF. El programa sospechoso podría afirmar ser una
herramienta de descarga de MP3 o MP4.
Si bien las herramientas en línea funcionan según lo anunciado, el FBI
afirma que el archivo resultante también podría contener malware oculto que
puede utilizarse para obtener acceso remoto al dispositivo
infectado. El FBI también afirma que los documentos subidos pueden ser extraídos para
obtener información confidencial, como nombres, números de seguro social,
semillas de criptomonedas, frases de contraseña, direcciones de billetera,
direcciones de correo electrónico, contraseñas e información bancaria.
«Los usuarios que antes buscan ‘convertidor de archivos en línea gratuito’
en un motor de búsqueda son vulnerables, ya que los algoritmos utilizados
para los resultados ahora suelen incluir resultados de pago, que podrían ser
fraudulentos».
Se sabe que los actores de amenazas utilizan estas herramientas para
distribuir malware. La semana pasada, el investigador de ciberseguridad
Will Thomas compartió
algunos sitios que afirmaban ser convertidores de documentos en línea, como
docu-flex[.]com y pdfixers[.]com.
Aunque estos sitios ya no están disponibles, distribuían ejecutables de
Windows llamados Pdfixers.exe [VirusTotal] y DocuFlex.exe [VirusTotal], ambos detectados como malware.
Un investigador de ciberseguridad conocido por rastrear la infección de
Gootloader también informó en noviembre sobre una campaña publicitaria de
Google que promocionaba sitios web falsos de conversión de archivos. Estos
sitios simulaban convertir archivos, pero en realidad provocaban la descarga
del malware Gootloader.
«Al visitar este sitio de WordPress (¡sorpresa!), encontré un formulario
para subir un PDF y convertirlo a un archivo .DOCX dentro de un .ZIP»,
explicó el investigador.
«Pero tras pasar ciertas comprobaciones (ser de un país angloparlante y no
haber visitado la misma subred de clase C en las últimas 24 horas), los
usuarios reciben un archivo .JS dentro del .ZIP en lugar de un .DOCX
genuino». Este archivo JavaScript es Gootloader, un cargador de malware conocido por
descargar malware adicional, como troyanos bancarios, ladrones de información,
descargadores de malware y herramientas de post-explotación, como Cobalt
Strike o Havoc.
Utilizando estas cargas útiles adicionales, los actores de amenazas vulneran
las redes corporativas y se propagan lateralmente a otros equipos. Ataques
como estos han provocado ataques de ransomware en el pasado, como los de REvil
y BlackSuit.
Si un sitio es relativamente desconocido, es mejor evitarlo por completo. Si
utiliza un convertidor o descargador de archivos en línea,
asegúrese de analizar cualquier archivo resultante del sitio, ya que, si es
un ejecutable o JavaScript, sin duda es malicioso.
Fuente:
BC