PDF to RAT: cómo una simple conversión de archivos permite a los piratas informáticos acceder a su PC

El FBI advierte: los conversores de documentos en línea gratuitos pueden llevar a la infección de dispositivos con software malicioso e incluso a ataques con ransomware. Además, este tipo de esquemas se están detectando con mayor frecuencia últimamente.

Los estafadores crean sitios web que, en apariencia, ofrecen un servicio simple y útil: la conversión de archivos de un formato a otro. Esto puede incluir, por ejemplo, convertir “.doc” a “.pdf”, combinar varios archivos “.jpg” en uno solo o descargar música y videos en formatos “.mp3” o “.mp4”. Sin embargo, junto con el archivo deseado, el usuario puede recibir un programa malicioso oculto.

Según explicó el FBI, estos sitios realmente pueden cumplir con la función anunciada, lo que reduce la vigilancia de los usuarios. Pero al mismo tiempo, un archivo con código malicioso se descarga en el dispositivo. Como resultado, los atacantes obtienen acceso remoto a la computadora de la víctima y pueden desarrollar un ataque, desde el robo de datos hasta la instalación de programas de ransomware.

Los casos más peligrosos son aquellos en los que los usuarios cargan documentos con información confidencial en estos sitios. El contenido de estos archivos puede ser extraído, incluyendo nombres, direcciones de correo electrónico, números de seguridad social, datos bancarios, billeteras de criptomonedas, contraseñas y frases secretas.

La oficina del FBI en Denver ya ha recibido informes de víctimas, incluida una organización gubernamental. La agencia aclara que los delincuentes copian direcciones URL reales, sustituyendo una letra o agregando sufijos como “INC” en lugar de “CO”, para engañar a las víctimas.

La situación se complica por el hecho de que los motores de búsqueda a menudo muestran primero los resultados promocionados, entre los cuales pueden esconderse conversores falsos. Los usuarios que buscan “conversor en línea gratuito” en Internet se vuelven especialmente vulnerables.

El investigador Will Thomas proporcionó ejemplos de sitios sospechosos, como “docu-flex[.]com” y “pdfixers[.]com”, que distribuían archivos ejecutables maliciosos. El análisis de estos programas mostró que son identificados como maliciosos y podrían haberse utilizado para instalar troyanos y otros tipos de software espía.

Otro investigador, que rastrea la distribución del malware Gootloader, informó que conversores falsos similares se difundieron a través de una campaña publicitaria de Google. Al ingresar al sitio, el usuario veía un formulario para cargar un documento PDF, pero en lugar del archivo DOCX esperado, recibía un archivo ZIP con un archivo JavaScript malicioso en su interior.

Gootloader se utiliza para entregar otros programas peligrosos, desde troyanos bancarios hasta herramientas de acceso remoto como Cobalt Strike. Estos ataques a menudo representan la etapa inicial de penetración en redes corporativas, tras lo cual los atacantes se propagan por la infraestructura y pueden lanzar ataques con ransomware, incluyendo a los conocidos grupos REvil y BlackSuit.

Aunque no todos los conversores en línea son peligrosos, los especialistas aconsejan verificar cuidadosamente las fuentes, evitar sitios poco conocidos y estar alerta si en lugar del documento esperado se descarga un archivo ejecutable o JavaScript. Este tipo de archivos suelen indicar un intento de infección.

Verificar la reputación del sitio, leer opiniones y evitar la descarga de archivos sospechosos puede ayudar a reducir el riesgo. En caso de duda, es mejor abstenerse por completo de utilizar estos servicios.