FBI, sahte çevrimiçi belge dönüştürücülerin insanların bilgilerini çalmak ve en kötü senaryolarda kurbanların cihazlarına fidye yazılımı dağıtmak için kullanıldığını uyarıyor.
Uyarı geçen hafta, bu tür araçlar hakkında artan sayıda rapor aldıktan sonra FBI Denver saha ofisinden geldi.
“FBI Denver saha ofisi, ajanların giderek artan bir şekilde ücretsiz çevrimiçi belge dönüştürücü araçlarını içeren bir aldatmaca gördükleri konusunda uyarıyor ve kurbanları bu aldatmaca örneklerini bildirmeye teşvik etmek istiyoruz.”
“Bu senaryoda suçlular, kötü amaçlı yazılımları mağdurların bilgisayarlarına yüklemek için ücretsiz çevrimiçi belge dönüştürücü araçlarını kullanıyor ve bu da fidye yazılımı gibi olaylara yol açıyor.”
FBI, siber suçluların ücretsiz belge dönüşümlerini, indirme araçlarını veya dosya birleştirme araçlarını tanıtan web siteleri oluşturduğunu söylüyor.
“Bu şemayı yürütmek için, dünyanın dört bir yanındaki siber suçlular, herhangi bir ücretsiz belge dönüştürücü veya indirici aracı kullanıyor. Bu, bir tür dosyayı bir .doc dosyası gibi bir .pdf dosyasına dönüştürdüğünü iddia eden bir web sitesi olabilir.”
“Ayrıca birden çok .jpg dosyasını bir .pdf dosyasına birleştirme gibi dosyaları birleştirmeyi de iddia edebilir. Şüpheli program bir MP3 veya MP4 indirme aracı olduğunu iddia edebilir.”
Çevrimiçi araçlar ilan edildiği gibi çalışırken, FBI, ortaya çıkan dosyanın enfekte olmuş cihaza uzaktan erişim elde etmek için kullanılabilecek gizli kötü amaçlı yazılım içerebileceğini söylüyor.
FBI ayrıca, yüklenen belgelerin isimler, sosyal güvenlik numaraları, kripto para tohumları, parolalar, cüzdan adresleri, e -posta adresleri, şifreler ve bankacılık bilgileri gibi hassas bilgiler için de kazınabileceğini söylüyor.
FBI Denver Saha Ofisi, BleepingComputer’a insanların bu dolandırıcılıkları IC3.gov’a bildirdiğini, bir kamu sektörü kuruluşunun son üç hafta içinde Metro Denver’daki aldatmacayı bildirdiğini söyledi.
FBI Denver halkla ilişkiler ofisi Vikki Migoya, “Dolandırıcılar yasal olan URL’leri taklit etmeye çalışıyor – bu yüzden sadece bir mektup değiştirme veya ‘CO’ yerine ‘Inc’ ‘, BleepingComputer’a verdiği demeçte Vikki Migoya.
“Geçmişte bir arama motoruna ‘ücretsiz çevrimiçi dosya dönüştürücü’ yazacak kullanıcılar savunmasızdır, çünkü sonuçlar için kullanılan algoritmalar genellikle dolandırıcılık olabilecek ücretli sonuçlar içeriyor.”
FBI, BleepingComputer’a, dolandırıcıların neyin işe yaradığını bildirecekleri için başka teknik ayrıntıları paylaşamadıklarını söylerken, tehdit aktörlerinin kötü amaçlı yazılım dağıtmak için bu araçları kullandıkları biliniyordu.
Çevrimiçi dönüştürücüler kötü amaçlı yazılımlara yol açar
Bazıları bu ücretsiz belge dönüştürücülerin kötü amaçlı yazılım ve fidye yazılımı saldırılarına yol açıp açamayacağını sorguladı ve cevap evet.
Geçen hafta, siber güvenlik araştırmacısı Will Thomas, Docu-Flex gibi çevrimiçi belge dönüştürücüler olduğunu iddia eden bazı siteleri paylaştı[.]com ve pdfixers[.]com.
Kaynak: archive.org
Bu siteler artık mevcut olmasa da, pdFixers.exe adlı Windows yürütülebilir ürünleri dağıttılar [VirusTotal] ve docuflex.exe [VirusTotal]her ikisi de kötü amaçlı yazılım olarak algılanan.
GoOtloader enfeksiyonunu izlediği bilinen bir siber güvenlik araştırmacısı, Kasım ayında sahte dosya dönüştürücü sitelerini tanıtan bir Google reklam kampanyası hakkında rapor verdi. Bu siteler dosyalarınızı dönüştürüyormuş gibi yaptı, ancak bunun yerine gootloader kötü amaçlı yazılımları indirmenize neden oldu.
Araştırmacı, “Bu WordPress sitesini (sürpriz!) Ziyaret ederken, bir PDF yüklemek için bir .zip içindeki bir .docx dosyasına dönüştürmek için bir form buldum.”
“Ancak bazı kontrolleri geçtikten sonra-İngilizce konuşan bir ülkeden ve son 24 saat içinde aynı C Sınıfı alt ağında ziyaret etmedikten sonra-kullanıcılar bunun yerine gerçek bir .docx yerine .zip içinde bir .js dosyası alırlar.”
Bu JavaScript dosyası, bankacılık truva atları, infostalers, kötü amaçlı yazılım indiricileri ve kobalt grev beacons gibi sömürü sonrası araçlar gibi ek kötü amaçlı yazılımlar indirdiği bilinen bir kötü amaçlı yazılım yükleyicisidir.
Bu ek yükleri kullanarak, tehdit aktörleri kurumsal ağları ihlal eder ve yanal olarak diğer bilgisayarlara yayılır. Bu gibi saldırılar, geçmişte Revil ve Blacksuit gibi tam gelişmiş fidye yazılımı saldırılarına yol açtı.
Tüm dosya dönüştürücüler kötü amaçlı yazılım olmasa da, herhangi bir programı indirmeden önce incelemeleri kullanmadan önce araştırmak ve kontrol etmek önemlidir.
Bir site nispeten bilinmiyorsa, bundan tamamen kaçınmak daha iyidir.
Çevrimiçi bir dosya dönüştürücü veya indirici kullanıyorsanız, sonuçta ortaya çıkan herhangi bir dosyayı, yürütülebilir veya JavaScript gibi, kesinlikle kötü niyetli gibi analiz ettiğinizden emin olun.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.