Inteligência do adversário

Byte Bandits: como conversores de PDF falsos estão roubando mais do que apenas seus documentos

O que parece ser uma conversão de arquivo on-line inofensiva pode ser uma armadilha criada pelos cibercriminosos. A investigação mais recente da CloudSek revela uma campanha furtiva de malware em que conversores falsos de PDF para DOCX, imitando o popular PDFCandy.com, induzem os usuários a executar comandos maliciosos do PowerShell. O final do jogo? Um poderoso ladrão de informações que sequestra credenciais do navegador, carteiras criptográficas e muito mais. Mergulhe em nossa análise detalhada desse golpe de engenharia social, sua anatomia técnica e como ficar um passo à frente desses bandidos de bytes.

April 15, 2025

min

Tabela de conteúdo

Exemplo H2

Sumário executivo

Os conversores de PDF online se tornaram ferramentas essenciais nos fluxos de trabalho digitais diários. Em 17 de março de 2025, o escritório de campo do FBI em Denver emitiu um alerta sobre o uso de conversores de arquivos on-line maliciosos para distribuir malware. Isso levou CloudSEKA equipe de pesquisa de segurança da conduzirá uma investigação aprofundada sobre essas ameaças para entender seus mecanismos e desenvolver medidas de proteção.

‍

Este relatório examina um ataque sofisticado envolvendo um conversor malicioso de PDF para DOCX que se faz passar pelo serviço legítimo pdfcandy.com. Os agentes da ameaça replicaram meticulosamente a interface de usuário da plataforma original e registraram nomes de domínio com aparência semelhante para enganar os usuários. O vetor de ataque envolve induzir as vítimas a executar um comando do PowerShell que instala o malware Arechclient2, uma variante da perigosa família de ladrões de informações SectopRAT conhecida por coletar dados confidenciais de sistemas comprometidos.

‍

Nossa análise detalha os aspectos técnicos desse ataque, os indicadores de comprometimento e fornece recomendações práticas para ajudar organizações e indivíduos a se protegerem contra essas táticas sofisticadas de engenharia social.

‍

*Figura 1: Mapa mental da campanha de malware*

‍

Análise

‍

*Figura 2: Página inicial do candyxpdf [.] com*

‍

*Figura 3: Página inicial do candyconverterpdf [.] com*

‍

As figuras 2 e 3 mostram as páginas inicial e inicial de dois sites de conversão de arquivos maliciosos identificados, ambos se passando habilmente pelo serviço legítimo pdfcandy.com. Esses sites fraudulentos replicam meticulosamente a identidade visual do pdfcandy.com, incluindo seu logotipo e elementos de marca, criando uma fachada convincente. Após a chegada, os usuários são imediatamente solicitados a fazer o upload de um arquivo PDF para conversão no formato Word (.docx), explorando uma necessidade comum de conversão de arquivos para iniciar o vetor de ataque.

Modus Operandi

*Figura 4: Captcha falso e conversão concluída do arquivo PDF de amostra*

Ao iniciar o processo de conversão de PDF, o site malicioso emprega uma série de táticas sofisticadas de engenharia social para manipular o comportamento do usuário:

Processamento simulado: O site exibe uma sequência de carregamento animada, criando a ilusão de um processamento genuíno de arquivos. Esta etapa foi projetada para criar confiança e diminuir a proteção do usuário.
Solicitação imediata de Captcha: Após a falsa animação de processamento, o site apresenta abruptamente uma caixa de diálogo de verificação de captcha, conforme ilustrado na Figura 4. Essa interrupção inesperada serve a vários propósitos:
- Ele imita práticas de segurança legítimas, aprimorando ainda mais a percepção da autenticidade do site.
- Isso cria um senso de urgência, potencialmente levando o usuário a agir sem uma análise cuidadosa.
- O CAPTCHA atua como um ponto de interação fundamental onde a carga maliciosa pode ser acionada.
Manipulação psicológica: Ao apresentar elementos familiares em uma sequência inesperada, os atacantes exploram os comportamentos e expectativas aprendidos do usuário ao interagir com os serviços da web.

Esse fluxo de usuário cuidadosamente elaborado demonstra a compreensão dos atacantes sobre a psicologia humana e as convenções de web design, destacando a natureza sofisticada desse ataque de engenharia social.

‍

*Figura 5: Site solicitando a execução de um comando do PowerShell*

‍

Após a interação enganosa do CAPTCHA, o site solicita que os usuários executem um comando do PowerShell (mostrado abaixo) com instruções detalhadas, conforme ilustrado na Figura 5, um ponto crítico em que a engenharia social faz a transição para o comprometimento do sistema.

‍

Análise técnica

*Figura 6: Solicitação da Web para baixar a carga maliciosa “adobe.zip”*

Ao decodificar o comando, descobrimos uma sofisticada cadeia de redirecionamento projetada para obscurecer o processo de entrega do malware. A conexão inicial tem como alvo “bind-new-connect [.] click/santa/bee” disfarçado como uma URL abreviada aparentemente inócua de “https [://] bitly [.] cx [/] sMMA”. Esse redirecionamento, mostrado na Figura 6, é posteriormente encaminhado para “https [://] bitly [.] cx [/] Www0", que então é vinculado a “bind-new-connect [.] click/marmaris/later” - o endpoint real que serve a carga maliciosa "adobe.zip”. De acordo com Ameaça Fox, o domínio “bind-new-connect [.] click” é um conhecido distribuidor do malware ArechClient pertencente à família SectopRAT de ladrões de informações. Esse sofisticado Trojan de acesso remoto baseado em .NET está ativo desde 2019 e possui amplos recursos para roubar dados confidenciais, incluindo credenciais do navegador e informações da carteira de criptomoedas.

‍

O arquivo malicioso "adobe.zip" foi hospedado no endereço IP 172 [.] 86 [.] 115 [.] 43, que foi sinalizado como malicioso por vários fornecedores de segurança, de acordo com Análise do VirusTotal. O SectopRat normalmente emprega vários métodos de distribuição, incluindo publicidade maliciosa por meio do Google Ads e atualizações falsas de aplicativos, para maximizar as taxas de infecção.

*Figura 7: Conteúdo da carga útil “adobe.zip”*

O conteúdo do “adobe.zip” pode ser visto na Figura 7 acima. Esse arquivo se expande para uma pasta chamada “SoundBand” e contém um arquivo executável malicioso “audiobit [.] exe”. A análise completa de malware de todo esse arquivo pode ser encontrada em este relatório de sandbox ANY.RUN.

*Figura 8: Execute a árvore do executável malicioso*

‍

A execução de “audiobit [.] exe” aciona uma sofisticada cadeia de ataque em vários estágios, na qual “cmd [.] exe” é gerado, o que subsequentemente inicia o “MSBuild [.] exe” — um utilitário legítimo do Windows agora usado como arma para carregar e executar o ladrão de informações ARechClient2, conforme ilustrado na Figura 9 abaixo.

‍

*Figura 9: Conteúdo do MSBuild sinalizado como malicioso e contendo um ladrão de informações do EchClient2*

‍

Indicadores de compromisso (COI)

IOC
candyxpdf[.]com
candyconverterpdf[.]com
bind-new-connect[.]click/santa/bee
bind-new-connect[.]click/marmaris/later
172[.]86[.]115[.]43
“adobe[.]zip” (Hash: 72642E429546E5AB207633D3C6A7E2E70698EF65)
“audiobit[.]exe” (Hash: 51de0b104e9ced3028a41d01dedf735809eb7f60888621027c7f00f0fcf9c834)

‍

Recomendações para proteção

Para se proteger contra conversores de arquivos maliciosos, como o analisado neste relatório, organizações e indivíduos devem:

Use apenas ferramentas de conversão de arquivos confiáveis e confiáveis de sites oficiais, em vez de pesquisar “conversores de arquivos online gratuitos”.
Implemente controles técnicos robustos, incluindo:
- Mantenha o software antivírus/antimalware atualizado e verifique todos os arquivos baixados antes de abri-los
- Implemente soluções de detecção e resposta de terminais (EDR) para detectar comportamentos suspeitos
- Utilize a filtragem de tráfego em nível de DNS para bloquear domínios maliciosos conhecidos
- Considere extensões de navegador que bloqueiam sites maliciosos
Verifique os tipos de arquivo além das extensões, pois os arquivos maliciosos geralmente se disfarçam como tipos de documentos legítimos.
Implemente a tecnologia de desarmamento e reconstrução de conteúdo (CDR) para remover ameaças potencialmente incorporadas dos documentos.
Estabeleça restrições de upload de arquivos em ambientes corporativos, inclusive limitando os tipos de arquivo permitidos e os tamanhos máximos de arquivo.
Ensine os usuários a reconhecer sinais de alerta de conversores maliciosos, como:
- Solicitações para executar o PowerShell ou instruções de linha de comando
- URLs suspeitos que imitam serviços legítimos com pequenas variações
- Verificações inesperadas de captcha ou downloads adicionais
Desenvolva e teste regularmente planos de resposta a incidentes para tratar rapidamente as infecções quando elas ocorrerem.
Considere usar ferramentas de conversão offline que não exijam o upload de arquivos para servidores remotos.
Se um sistema estiver potencialmente comprometido:
- Isole imediatamente o dispositivo afetado
- Altere todas as senhas usando um dispositivo limpo
- Entre em contato com instituições financeiras para proteger as contas
- Relate o incidente às autoridades competentes

Referências

Varun Ajmera

Security researcher on the TRIAD team, specializing in emerging cyber threats and their business impact. Focused on proactive defense through research and threat hunting, turning adversary intelligence into actionable detections, mitigations, and guidance that strengthen organizational resilience.

Nenhum item encontrado.