אתרים המציעים שירותי המרת קבצים בחינם, כמו המרת מסמכי Word ל-PDF, משמשים כפיתיון מתוחכם להפצת תוכנות זדוניות שעלולות להוביל לתקיפות כופר חמורות - כך התריעה היום (ראשון) חברת הסייבר הישראלית Experis Cyber בדוח שהתבסס על אזהרה של ה-FBI האמריקני.
מדובר באתרים מזויפים המתחזים לשירותי המרה לגיטימיים, הנראים מקצועיים לחלוטין ואף מספקים את השירות המובטח - הקובץ המומר. אולם יחד עם הקובץ המומר, מגיע גם קובץ נסתר המכיל נוזקה. ברגע שהמשתמש פותח את הקובץ שהוריד, המחשב עלול להידבק בתוכנה המעניקה לתוקף גישה מרחוק או אוספת מידע אישי רגיש מהקבצים.
ההאקרים מכוונים במיוחד למשתמשים המחפשים פתרונות מהירים וחינמיים. הם משקיעים בקידום האתרים שלהם בגוגל כך שיופיעו בראש תוצאות החיפוש, מה שמגביר משמעותית את מספר הקורבנות הפוטנציאליים.
המידע שנגנב כחלק ממתקפות אלה כולל נתונים רגישים במיוחד: שמות, כתובות דוא"ל, מספרי תעודות זהות, סיסמאות, פרטי חשבונות בנק ואפילו כתובות ארנקים של מטבעות קריפטוגרפיים.
המתקפה מכוונת בעיקר למשתמשים המחפשים בגוגל "המרת קבצים אונליין", כאשר האלגוריתם של מנוע החיפוש עלול להציג אתרים מזויפים לפני תוצאות אמינות.
בין האתרים שנחשפו כזדוניים אפשר למצוא את docu-flex.com ו-pdfixers.com, שהפיצו קבצים בשמות Pdfixers.exe ו-DocuFlex.exe שהתגלו כנוזקות.
כדי להטעות משתמשים, ההאקרים עושים מניפולציות קטנות בכתובות האתרים - כמו החלפת אות אחת או שימוש בסיומת שונה (INC במקום CO).
במקרה מדאיג במיוחד, משתמש שהעלה קובץ PDF להמרה ל-DOCX קיבל קובץ ZIP שהכיל קובץ JavaScript זדוני במקום המסמך המבוקש. קובץ זה היה למעשה Gootloader - קוד זדוני המתוכנן להוריד כלים נוספים כמו סוסים טרויאניים ותוכנות ריגול.
מתקפות מסוג זה הובילו במקרים מסוימים לפריצות רוחביות ברשתות ארגוניות שלמות ולתקיפות כופר משמעותיות על ידי קבוצות כמו Revil ו-BlackSuit.
למרבה המזל, קיימות אלטרנטיבות בטוחות לשירותי המרה אלה. המומחים ממליצים להשתמש בכלים המובנים במערכת ההפעלה - כמו אפשרות "הדפסה ל-PDF" ב-Windows או האפשרות להוריד קבצים בפורמטים שונים ב-Google Docs. מומחי האבטחה מדגישים כי כדאי להיצמד לאפליקציות מוכרות ובעלות מוניטין.
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו