Istraživači sajber bezbjednosti iz CloudSEK-a otkrili su da hakeri koriste popularni onlajn alat za konverziju fajlova PDFCandy.com kao mamac za širenje malvera ArechClient2.
Napadači su kreirali lažne veb stranice koje imitiraju PDFCandy.com kako bi prevarili korisnike i naveli ih da preuzmu opasni softver.
Prema izvještaju CloudSEK-a, hakeri su pažljivo kopirali izgled i korisnički interfejs originalnog PDFCandy.com sajta, koristeći slične veb adrese i imena domena kako bi obmanuli više od dva i po miliona korisnika ove platforme.
Napad počinje kada korisnik posjeti lažnu stranicu i pokuša da konvertuje PDF fajl u DOCX. Nakon lažne animacije učitavanja, sajt traži CAPTCHA verifikaciju, što je ključni korak u prevari. Umjesto prave verifikacije, od korisnika se traži da pokrene PowerShell komandu, što dovodi do kompromitovanja sistema.
Nakon toga slijedi niz preusmjeravanja do ZIP fajla nazvanog “adobe.zip”, koji sadrži folder “SoundBAND” sa opasnim izvršnim fajlom “audiobitexe”. Ovaj višestepeni napad koristi legitimne Windows programe i alate za instalaciju ArechClient2 malvera, koji pripada porodici SectopRAT i aktivan je od 2019. godine, a koristi se za krađu korisničkih imena i lozinki.
Istraživači podsjećaju da je i FBI prošlog mjeseca upozorio na zloupotrebu onlajn konvertera fajlova za širenje malvera. Savjetuju korisnicima da budu oprezni prilikom korištenja ovakvih usluga, provjeravaju legitimnost veb sajtova, obraćaju pažnju na URL adrese i budu sumnjičavi prema neočekivanim zahtjevima.