FBI: Các công cụ chuyển đổi file trực tuyến có thể đi kèm phần mềm độc hại

Cục điều tra liên bang Mỹ (FBI) cảnh báo rằng, các trình chuyển đổi tài liệu trực tuyến giả mạo đang được sử dụng để đánh cắp thông tin của mọi người và trong trường hợp xấu nhất, đó là triển khai phần mềm tống tiền trên thiết bị của nạn nhân.

Theo văn phòng FBI Denver, hiện xuất hiện ngày càng nhiều vụ lừa đảo liên quan đến các công cụ chuyển đổi tài liệu trực tuyến miễn phí và các chuyên gia khuyến khích nạn nhân báo cáo các trường hợp lừa đảo dạng này. Tội phạm sử dụng các công cụ chuyển đổi tài liệu trực tuyến miễn phí để tải phần mềm độc hại vào máy tính của nạn nhân, dẫn đến các sự cố như phần mềm tống tiền.

FBI cho biết tội phạm mạng đang tạo các trang web quảng cáo các công cụ chuyển đổi tài liệu miễn phí (chẳng hạn như tệp .doc thành tệp .pdf"), công cụ tải xuống (công cụ tải xuống MP3 hoặc MP4) hoặc công cụ hợp nhất tệp (nối nhiều tệp .jpg thành một tệp .pdf).

Mặc dù các công cụ trực tuyến hoạt động như quảng cáo, nhưng FBI cho biết tệp kết quả cũng có thể chứa phần mềm độc hại ẩn có thể được sử dụng để truy cập từ xa vào thiết bị bị nhiễm.

Cũng theo FBI, các tài liệu được tải lên cũng có thể bị thu thập thông tin nhạy cảm, chẳng hạn như tên, số an sinh xã hội, hạt giống tiền điện tử, cụm mật khẩu, địa chỉ ví, địa chỉ email, mật khẩu và thông tin ngân hàng. Những kẻ lừa đảo cố gắng bắt chước các URL hợp lệ – chỉ cần thay đổi một chữ cái hoặc một cụm từ.

Những người dùng trước nhập cụm từ chuyển đổi các file trực tuyến miễn phí 'free online file converter' vào công cụ tìm kiếm sẽ dễ bị tấn công vì các thuật toán được sử dụng để tìm kiếm kết quả hiện nay thường bao gồm các kết quả trả phí, có thể là lừa đảo.

Các công cụ chuyển đổi trực tuyến dẫn đến phần mềm độc hại

Một số người đã đặt câu hỏi liệu các công cụ chuyển đổi tài liệu miễn phí này có thể dẫn đến các cuộc tấn công phần mềm độc hại và phần mềm tống tiền hay không và câu trả lời là có.

Tuần trước, nhà nghiên cứu an ninh mạng Will Thomas đã chia sẻ một số trang web tự nhận là trình chuyển đổi tài liệu trực tuyến, chẳng hạn như docu-flex[.]com và pdfixers[.]com

Mặc dù các trang web này không còn khả dụng nữa, nhưng chúng đã phân phối các tệp thực thi Windows có tên là Pdfixers.exe [VirusTotal] và DocuFlex.exe [VirusTotal], cả hai đều được phát hiện là phần mềm độc hại.

Một nhà nghiên cứu an ninh mạng nổi tiếng với việc theo dõi quá trình lây nhiễm Gootloader cũng đã báo cáo vào tháng 11/2024 về một chiến dịch quảng cáo của Google, trong đó quảng bá các trang web chuyển đổi tệp giả mạo. Các trang web này giả vờ chuyển đổi tệp của bạn nhưng thay vào đó khiến bạn tải xuống phần mềm độc hại Gootloader.

"Khi truy cập trang web WordPress này (thật bất ngờ!), tôi đã tìm thấy một biểu mẫu để tải lên tệp PDF để chuyển đổi tệp đó thành tệp .DOCX bên trong tệp .zip", nhà nghiên cứu giải thích.

Tệp JavaScript này là Gootloader, một trình tải phần mềm độc hại được biết đến với khả năng tải xuống phần mềm độc hại bổ sung, chẳng hạn như trojan ngân hàng, trình đánh cắp thông tin, trình tải phần mềm độc hại và các công cụ khai thác sau, như Cobalt Strike beacons.

Sử dụng các tải trọng bổ sung này, các tác nhân đe dọa xâm nhập vào mạng công ty và lây lan sang các máy tính khác. Các cuộc tấn công như thế này đã dẫn đến các cuộc tấn công bằng phần mềm tống tiền (ransomware) toàn diện trong quá khứ, chẳng hạn như các cuộc tấn công của REvil và BlackSuit.

Mặc dù không phải tất cả các trình chuyển đổi tệp đều là phần mềm độc hại, nhưng điều cần thiết là phải nghiên cứu chúng trước khi sử dụng và kiểm tra các đánh giá trước khi tải xuống bất kỳ chương trình nào. Nếu một trang web tương đối ít người biết đến, tốt hơn hết là nên tránh hoàn toàn.

Nếu bạn sử dụng trình chuyển đổi hoặc tải xuống tệp trực tuyến, hãy đảm bảo phân tích mọi tệp kết quả từ trang web đó, vì nếu chúng là tệp thực thi hoặc JavaScript, thì chúng chắc chắn là độc hại.