El FBI advierte que se están utilizando convertidores de documentos falsos en línea para robar información de las personas y, en el peor de los casos, para implementar ransomware en los dispositivos de las víctimas.
La advertencia llegó la semana pasada desde la oficina de campo del FBI en Denver, después de recibir un número creciente de informes sobre este tipo de herramientas.
"La Oficina de Campo del FBI en Denver advierte que los agentes están viendo cada vez más una estafa que involucra herramientas gratuitas de conversión de documentos en línea, y queremos alentar a las víctimas a denunciar los casos de esta estafa", se lee en la advertencia .
En este escenario, los delincuentes utilizan herramientas gratuitas de conversión de documentos en línea para instalar malware en las computadoras de las víctimas, lo que da lugar a incidentes como el ransomware.
El FBI dice que los ciberdelincuentes están creando sitios web que promueven conversiones gratuitas de documentos, herramientas de descarga o herramientas de fusión de archivos.
Para llevar a cabo este plan, ciberdelincuentes de todo el mundo utilizan cualquier tipo de herramienta gratuita de conversión o descarga de documentos. Podría tratarse de un sitio web que afirma convertir un tipo de archivo en otro, como un archivo .doc en un archivo .pdf, continuó el FBI.
También podría afirmar que combina archivos, como unir varios archivos .jpg en uno solo .pdf. El programa sospechoso podría afirmar ser una herramienta de descarga de MP3 o MP4.
Si bien las herramientas en línea funcionan como se anuncia, el FBI dice que el archivo resultante también puede contener malware oculto que puede utilizarse para obtener acceso remoto al dispositivo infectado.
El FBI también dice que los documentos cargados también pueden ser extraídos para obtener información confidencial, como nombres, números de seguro social, semillas de criptomonedas, frases de contraseña, direcciones de billetera, direcciones de correo electrónico, contraseñas e información bancaria.
La oficina de campo del FBI en Denver le dijo a BleepingComputer que la gente está reportando estas estafas a IC3.gov, y que una entidad del sector público reportó la estafa en el área metropolitana de Denver en las últimas tres semanas.
"Los estafadores intentan imitar URL legítimas, cambiando solo una letra, o 'INC' en lugar de 'CO'", explicó Vikki Migoya, de la Oficina de Asuntos Públicos del FBI en Denver, a BleepingComputer.
Los usuarios que antes escribían "convertidor de archivos online gratuito" en un buscador son vulnerables, ya que los algoritmos utilizados para obtener los resultados ahora suelen incluir resultados de pago, que podrían ser estafas.
Si bien el FBI le dijo a BleepingComputer que no podía compartir más detalles técnicos ya que eso permitiría a los estafadores saber qué está funcionando, se sabe que los actores de amenazas utilizan estas herramientas para implementar malware.
Los convertidores en línea conducen a malware
Algunos se han preguntado si estos convertidores de documentos gratuitos pueden provocar ataques de malware y ransomware, y la respuesta es sí.
La semana pasada, el investigador de ciberseguridad Will Thomas compartió algunos sitios que afirmaban ser convertidores de documentos en línea, como docu-flex[.]com y pdfixers[.]com.
Un investigador de ciberseguridad conocido por rastrear la infección de Gootloader también informó en noviembre sobre una campaña publicitaria de Google que promocionaba sitios web falsos de conversión de archivos. Estos sitios simulaban convertir archivos, pero en realidad provocaban la descarga del malware Gootloader.
“Visitando este sitio de WordPress (¡sorpresa!), encontré un formulario para subir un PDF y convertirlo a un archivo .DOCX dentro de un .zip”, explicó el investigador .
Sin embargo, tras pasar ciertas comprobaciones (ser de un país angloparlante y no haber estado en la misma subred de clase C en las últimas 24 horas), los usuarios reciben un archivo .JS dentro del .zip en lugar de un .DOCX auténtico.
Este archivo JavaScript es Gootloader, un cargador de malware conocido por descargar malware adicional, como troyanos bancarios, ladrones de información, descargadores de malware y herramientas de postexplotación, como las balizas Cobalt Strike.
Utilizando estas cargas útiles adicionales, los actores de amenazas vulneran las redes corporativas y se propagan lateralmente a otros ordenadores. Ataques como estos han dado lugar a ataques de ransomware de gran envergadura en el pasado, como los de REvil y BlackSuit .
Si bien no todos los convertidores de archivos son malware, es fundamental investigarlos antes de usarlos y consultar las reseñas antes de descargar cualquier programa.
Si un sitio es relativamente desconocido, es mejor evitarlo por completo.
Si utiliza un convertidor o descargador de archivos en línea, asegúrese de analizar cualquier archivo resultante del sitio, ya que si es un archivo ejecutable o JavaScript, definitivamente es malicioso.
Síguenos en twitter: @disoftin - @fredyavila - @PaolaMRincon
0 Comentarios