Kort sagt
– En ny malwarekampagne bruger falske PDF til DOCX-konvertere som et vektor.
– Ofre narres til at udføre en PowerShell-kommando, der installerer SectopRAT-varianten Arechclient2.
– Malwaren kan hente seed-fraser og tappe ind i Web3 API’er for at tømme aktiver.
En malwarekampagne bruger falske PDF til DOCX-konvertere som et vektor for at snige ondsindede PowerShell-kommandoer på maskiner, hvilket muliggør, at angriberen kan få adgang til kryptokasser, kapre browserlegitimationsoplysninger og stjæle information.
Efter en FBI-advarsel sidste måned har CloudSEK Security Research-teamet gennemført en undersøgelse, der afslører detaljer om angrebene.
Målet er at narre brugerne til at udføre en PowerShell-kommando, der installerer malwaren Arechclient2, en variant af SectopRAT, en informationsstjælefamilie kendt for at høste følsomme data fra ofre.
De ondsindede websteder udgiver sig for at være ægte filkonverter PDFCandy, men i stedet for at indlæse den rigtige software downloades malwaren. Siden viser indlæsningsbjælker og endda CAPTCHA-verifikation for at få brugerne til at føle en falsk sikkerhed.
I sidste ende, efter flere omdirigeringer, downloader offerets maskine en “adobe.zip”-fil, der indeholder nyttelasten – hvilket udsætter enheden for Remote Access Trojan, der har været aktiv siden 2019.
Dette efterlader brugerne åbne for datatyveri, inklusive browseradgangskoder og kryptokasseoplysninger.
Malwaren “kontrollerer udvidelseslagre, henter seed-fraser og benytter endda Web3 API’er for at ghosttømme aktiver efter godkendelse,” sagde Stephen Ajayi, Dapp Audit Technical Lead hos blockchain-sikkerhedsfirmaet Hacken, til Decrypt.
CloudSEK rådede folk til at bruge antivirus- og antimalware-software og “verificere filtyper ud over blot udvidelser, da ondsindede filer ofte udgiver sig for legitime dokumenttyper.”
Cybersikkerhedsfirmaet råder også brugerne til at stole på “pålidelige, anerkendte filkonverteringsværktøjer fra officielle websteder i stedet for at søge efter ‘gratis online filkonvertere'” og overveje at bruge “offline konverteringsværktøjer, der ikke kræver upload af filer til eksterne servere.”
Hackens Ajayi rådede kryptobrugere til at huske på, at “Tillid er et spektrum, det er noget, man tjener, ikke noget, man giver. Inden for cybersikkerhed skal du antage, at intet er sikkert som standard.” Han tilføjede, at de bør “Anvende en tankegang med nultillid og holde deres sikkerhedsstak opdateret, især EDR- og AV-værktøjer, der kan opdage adfærdsmæssige anomalier som skadelig msbuild.exe-aktivitet.”
“Angribere udvikler sig konstant, og det bør forsvarerne også,” bemærkede Ajayi og tilføjede, at “Regelmæssig træning, situationsbevidsthed og stærk detektionsdækning er essentielle. Vær skeptisk, forbered dig på værst tænkelige scenarier, og hav altid en testet responsplan klar til at tage i brug.”
Malwarekampagne retter sig mod kryptotegnebøger med falsk PDF-konverteringssoftware.
