一个恶意软件活动正在利用假冒的 PDF 转 DOCX 转换器作为潜入恶意 PowerShell 命令到机器的途径，使攻击者能够访问加密钱包、劫持浏览器凭据并窃取信息。

在上个月的 FBI 警报 之后，CloudSEK 安全研究团队进行了调查，揭示了攻击的细节。

其目标是欺骗用户执行一个 PowerShell 命令，该命令安装 Arechclient2 恶意软件，这是 SectopRAT 的一个变种，这是一种已知从受害者那里窃取敏感数据的信息窃取家族。

这些恶意网站假冒合法的文件转换器 PDFCandy，但并不加载真实的软件，而是下载恶意软件。该网站具有加载条，甚至还有 CAPTCHA 验证，以使用户产生虚假的安全感。

最终，在经过几次重定向后，受害者的机器下载了一个包含有效载荷的 "adobe.zip" 文件——使设备暴露于自 2019 年以来活跃的远程访问木马。

这使用户面临数据盗窃的风险，包括浏览器凭据和加密货币钱包信息。

区块链安全公司 Hacken 的 Dapp Audit 技术负责人 Stephen Ajayi 告诉 Decrypt，该恶意软件“检查扩展商店，窃取种子短语，甚至利用 Web3 API 在批准后悄悄抽取资产。”

CloudSEK 建议人们使用防病毒和反恶意软件软件，并“验证文件类型，不仅仅依赖扩展名，因为恶意文件常常伪装成合法的文档类型。”

该网络安全公司还建议用户依赖“来自官方网站的可信、声誉良好的文件转换工具，而不是搜索‘免费在线文件转换器’”，并考虑使用“不需要将文件上传到远程服务器的离线转换工具。”

Hacken 的 Ajayi 建议加密用户记住，“信任是一个光谱，是通过努力获得的，而不是给予的。在网络安全中，默认假设没有任何东西是安全的。”他补充说，他们应该“应用零信任思维，保持安全堆栈的最新，特别是能够标记异常行为的 EDR 和 AV 工具，如 rogue msbuild.exe 活动。”

“攻击者不断进化，防御者也应该如此，”Ajayi 指出，并补充说，“定期培训、情境意识和强大的检测覆盖是必不可少的。保持怀疑，准备应对最坏的情况，并始终准备好经过测试的响应手册。”

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。