Uma campanha de malware está mirando carteiras de criptomoedas ao disseminar softwares falsos de conversão de arquivos PDF para DOCX. Os sites maliciosos imitam a página do legítimo conversor de arquivos PDFCandy, mas, em vez de carregar o software original, instalam comandos maliciosos que permitem o roubo de informações sensíveis.
Segundo investigação da equipe de segurança da CloudSEK, iniciada após um alerta emitido pelo FBI no mês passado, o golpe utiliza o PowerShell para instalar o malware Arechclient2, uma variante do conhecido SectopRAT, ativo desde 2019. Com isso, os invasores obtêm acesso a carteiras de criptomoedas, credenciais de navegadores e outros dados confidenciais dos usuários.
Os sites fraudulentos reproduzem recursos visuais como barras de carregamento e verificações CAPTCHA, em uma tentativa de passar legitimidade e criar uma falsa sensação de segurança. Após uma sequência de redirecionamentos, a máquina da vítima recebe o arquivo “adobe.zip”, que contém o trojan de acesso remoto responsável pela infecção.
“O malware verifica lojas de extensões, rouba frases-semente e até acessa APIs Web3 para drenar ativos furtivamente após aprovação”, explicou Stephen Ajayi, líder técnico de auditoria Dapp na empresa de segurança blockchain Hacken, ao Decrypt.
A CloudSEK recomendou que usuários utilizem softwares antivírus e antimalware atualizados e que verifiquem os tipos reais dos arquivos baixados, e não apenas suas extensões, pois arquivos maliciosos frequentemente se disfarçam como documentos legítimos. A orientação é buscar ferramentas de conversão de arquivos em sites oficiais e confiáveis, além de considerar opções offline que não exigem upload para servidores remotos.
Ajayi reforçou que, em cibersegurança, “confiança é um espectro; ela é conquistada, não dada”. Segundo ele, os usuários devem adotar uma mentalidade de “confiança zero” e manter suas ferramentas de segurança atualizadas, especialmente soluções EDR (Detecção e Resposta de Endpoint) e antivírus capazes de identificar atividades suspeitas, como execuções maliciosas do msbuild.exe.
“Os atacantes evoluem constantemente, e os defensores também devem evoluir”, afirmou Ajayi. “Treinamentos regulares, consciência situacional e uma cobertura de detecção forte são essenciais. Mantenha o ceticismo, prepare-se para cenários de pior caso e sempre tenha um plano de resposta testado e pronto para ser usado.”
