بواسطة: لورانس أبرامز | BleepingComputer

حذر مكتب التحقيقات الفيدرالي (FBI) من استخدام محولات مستندات مزيفة عبر الإنترنت لسرقة معلومات الأشخاص، وفي أسوأ السيناريوهات، لنشر برامج الفدية على أجهزة الضحايا.

وجاء التحذير الأسبوع الماضي من مكتب التحقيقات الفيدرالي في دنفر، بعد تلقي عدد متزايد من التقارير حول هذه الأنواع من الأدوات.

"يحذر مكتب التحقيقات الفيدرالي في دنفر من أن العملاء يرون بشكل متزايد عملية احتيال تتعلق بأدوات تحويل المستندات المجانية عبر الإنترنت، ونحن نريد تشجيع الضحايا على الإبلاغ عن حالات هذا الاحتيال"، كما جاء في التحذير.

"في هذا السيناريو، يستخدم المجرمون أدوات تحويل المستندات المجانية عبر الإنترنت لتحميل البرامج الضارة على أجهزة الكمبيوتر الخاصة بالضحايا، مما يؤدي إلى حوادث مثل برامج الفدية."

يقول مكتب التحقيقات الفيدرالي أن مجرمي الإنترنت يقومون بإنشاء مواقع ويب تروج لتحويل المستندات المجانية، أو أدوات التنزيل، أو أدوات دمج الملفات.

لتنفيذ هذه الخطة، يستخدم مجرمو الإنترنت حول العالم أي نوع من أدوات تحويل أو تنزيل المستندات المجانية. قد يكون هذا موقعًا إلكترونيًا يدّعي تحويل نوع من الملفات إلى نوع آخر، مثل تحويل ملف .doc إلى ملف .pdf، وفقًا لمكتب التحقيقات الفيدرالي.

قد يدّعي البرنامج أيضًا دمج الملفات، مثل دمج عدة ملفات .jpg في ملف .pdf واحد. قد يدّعي البرنامج المشتبه به أنه أداة تنزيل ملفات MP3 أو MP4.

وفي حين تعمل الأدوات عبر الإنترنت كما هو معلن عنها، يقول مكتب التحقيقات الفيدرالي إن الملف الناتج قد يحتوي أيضًا على برامج ضارة مخفية يمكن استخدامها للحصول على وصول عن بعد إلى الجهاز المصاب.

ويقول مكتب التحقيقات الفيدرالي أيضًا إن المستندات التي تم تحميلها يمكن أيضًا استخراج معلومات حساسة منها، مثل الأسماء وأرقام الضمان الاجتماعي وبذور العملات المشفرة وعبارات المرور وعناوين المحفظة وعناوين البريد الإلكتروني وكلمات المرور والمعلومات المصرفية.

أخبر مكتب التحقيقات الفيدرالي في دنفر موقع BleepingComputer أن الناس يبلغون عن هذه الاحتيالات إلى موقع IC3.gov، حيث أبلغت إحدى هيئات القطاع العام عن عملية الاحتيال في مترو دنفر في الأسابيع الثلاثة الماضية.

قالت فيكي ميجويا، من مكتب الشؤون العامة لمكتب التحقيقات الفيدرالي في دنفر، لموقع BleepingComputer: "يحاول المحتالون تقليد عناوين URL الأصلية - لذا يقومون بتغيير حرف واحد فقط، أو "INC" بدلاً من "CO"،".

 "المستخدمون الذين كانوا في الماضي يكتبون "محول ملفات مجاني عبر الإنترنت" في محرك البحث معرضون للخطر، لأن الخوارزميات المستخدمة للنتائج غالبًا ما تتضمن الآن نتائج مدفوعة الأجر، والتي قد تكون عمليات احتيال."

في حين أبلغ مكتب التحقيقات الفيدرالي موقع BleepingComputer أنه لا يمكنه مشاركة أي تفاصيل تقنية أخرى لأن ذلك سيسمح للمحتالين بمعرفة ما يعمل، فمن المعروف أن الجهات الفاعلة في مجال التهديد تستخدم هذه الأدوات لنشر البرامج الضارة.

المحولات عبر الإنترنت تؤدي إلى البرامج الضارة

وقد تساءل البعض عما إذا كانت محولات المستندات المجانية هذه يمكن أن تؤدي إلى هجمات البرامج الضارة وبرامج الفدية، والإجابة هي نعم.

في الأسبوع الماضي، شارك باحث الأمن السيبراني ويل توماسبعض المواقع التي ادعت أنها محولات مستندات عبر الإنترنت، مثل docu-flex[.]com وpdfixers[.]com.

على الرغم من أن هذه المواقع لم تعد متاحة، فقد قامت بتوزيع ملفات قابلة للتنفيذ لنظام التشغيل Windows تسمى Pdfixers.exe [ VirusTotal ] وDocuFlex.exe [ VirusTotal ]، وكلاهما تم اكتشافهما على أنهما برامج ضارة.

أفاد باحث في الأمن السيبراني، معروف بتتبعه لفيروس Gootloader، في نوفمبر/تشرين الثاني الماضي عن حملة إعلانية على جوجل تروّج لمواقع وهمية لتحويل الملفات. تظاهرت هذه المواقع بتحويل ملفاتك، لكنها بدلاً من ذلك دفعتكَ إلى تنزيل فيروس Gootloader.

"عند زيارة هذا الموقع WordPress (مفاجأة!)، وجدت نموذجًا لرفع ملف PDF لتحويله إلى ملف .DOCX داخل ملف .zip،" أوضح الباحث .

"ولكن بعد اجتياز بعض الفحوصات - كونك من دولة ناطقة باللغة الإنجليزية ولم تقم بزيارة نفس الشبكة الفرعية من الفئة C خلال الـ 24 ساعة الماضية - يتلقى المستخدمون بدلاً من ذلك ملف .JS داخل ملف .zip بدلاً من ملف .DOCX الأصلي."

ملف JavaScript هذا هو Gootloader، وهو محمل للبرامج الضارة معروف بتنزيل برامج ضارة إضافية، مثل أحصنة طروادة المصرفية، وبرامج سرقة المعلومات، وبرامج تنزيل البرامج الضارة، وأدوات ما بعد الاستغلال، مثل منارات Cobalt Strike.

باستخدام هذه الحمولات الإضافية، يخترق مُنفذو التهديدات شبكات الشركات وينتشرون بشكل جانبي إلى أجهزة كمبيوتر أخرى. وقد أدت هجمات كهذه إلى هجمات فدية شاملة في الماضي، مثل هجمات REvil و BlackSuit .

على الرغم من أن محولات الملفات ليست كلها برامج ضارة، فمن الضروري البحث عنها قبل استخدامها والتحقق من المراجعات قبل تنزيل أي برامج.

إذا كان الموقع غير معروف نسبيًا، فمن الأفضل تجنبه تمامًا.

إذا كنت تستخدم محول ملفات أو برنامج تنزيل ملفات عبر الإنترنت، فتأكد من تحليل أي ملف ناتج من الموقع، لأنه إذا كان ملفًا قابلاً للتنفيذ أو JavaScript، فهو ضار بالتأكيد.