PDF to RAT: как простая конвертация файла открывает хакерам доступ к вашему ПК

ФБР предупреждает : бесплатные онлайн-конвертеры документов могут привести к заражению устройств вредоносным ПО и даже к атакам с использованием вымогательского ПО. Причём фиксируются подобные схемы в последнее время всё чаще.

Мошенники создают сайты, которые внешне предлагают простую и полезную услугу — конвертацию файлов из одного формата в другой. Это может быть, например, преобразование «.doc» в «.pdf», объединение нескольких «.jpg» в один файл или загрузка музыки и видео в форматах «.mp3» или «.mp4». Однако вместе с нужным файлом пользователь может получить скрытую вредоносную программу.

Как пояснили в ФБР, такие сайты действительно могут выполнять заявленную функцию, что снижает бдительность пользователей. Но одновременно с этим на устройство попадает файл с вредоносным кодом. В результате злоумышленники получают удалённый доступ к компьютеру жертвы и могут развить атаку — от кражи данных до установки программ-вымогателей.

Особую опасность представляют случаи, когда пользователи загружают на такие сайты документы с конфиденциальной информацией. Содержимое этих файлов может быть извлечено, включая имена, адреса электронной почты, номера социального страхования, банковские реквизиты, криптовалютные кошельки, пароли и секретные фразы.

Отделение ФБР в Денвере уже получало сообщения от пострадавших, включая одну государственную организацию. В ведомстве уточняют, что преступники копируют реальные URL-адреса, заменяя одну букву или добавляя суффиксы вроде «INC» вместо «CO», чтобы ввести жертв в заблуждение.

Ситуация осложняется тем, что поисковые системы зачастую выдают продвигаемые результаты первыми, и именно среди них могут скрываться поддельные конвертеры. Пользователи, которые ищут «бесплатный онлайн-конвертер» в интернете, становятся особенно уязвимыми.

Исследователь Уилл Томас привёл примеры подозрительных сайтов, таких как «docu-flex[.]com» и «pdfixers[.]com», распространявших вредоносные исполняемые файлы. Анализ этих программ показал, что они идентифицируются как вредоносные и могли быть использованы для установки троянов и иных видов шпионского ПО.

Другой исследователь, отслеживающий распространение вредоносной программы Gootloader, сообщил , что аналогичные фейковые конвертеры распространялись через рекламную кампанию Google. При переходе на сайт пользователь видел форму загрузки PDF-документа, но вместо желаемого DOCX-файла получал на выходе ZIP-архив с вредоносным JavaScript-файлом внутри.

Gootloader используется для доставки других опасных программ — от банковских троянов до инструментов удалённого доступа, таких как Cobalt Strike. Такие атаки часто становятся первым этапом проникновения в корпоративные сети, после чего злоумышленники распространяются по инфраструктуре и могут запускать атаки с применением вымогательского ПО, включая известные группировки REvil и BlackSuit.

Хотя не все онлайн-конвертеры опасны, специалисты советуют внимательно проверять источники, избегать малоизвестных сайтов и насторожиться, если вместо ожидаемого документа скачивается исполняемый файл или JavaScript. Подобные файлы, как правило, указывают на попытку заражения.

Проверка репутации сайта, чтение отзывов и отказ от загрузки подозрительных файлов помогут снизить риск. В случае сомнений — лучше вовсе отказаться от использования таких сервисов.