Internetowy konwerter plików — narzędzie, które miało być prostym rozwiązaniem codziennych problemów użytkowników, niespodziewanie stało się bronią w rękach cyberprzestępców. Biuro FBI w Denver ostrzega przed narastającym zjawiskiem oszustw związanych z tego rodzaju stronami. Choć pozornie nieszkodliwe, potrafią wyrządzić ogromne szkody – nie tylko użytkownikowi indywidualnemu, ale także całym instytucjom. Zaczyna się niewinnie. Internauta szuka w sieci prostego narzędzia do przekonwertowania pliku — na przykład dokumentu tekstowego na PDF. Wpisuje w wyszukiwarkę odpowiednie hasło, klika w pierwszy wynik i z pozoru wszystko przebiega prawidłowo. Strona wygląda profesjonalnie, działa szybko, daje dokładnie to, czego użytkownik oczekiwał. Jednak to właśnie w tym momencie może rozpocząć się koszmar — w tle na komputerze ofiary ląduje złośliwe oprogramowanie.
Zamiana pliku w cyberatak
FBI w swoim ostrzeżeniu nie owijało w bawełnę — wzrost liczby incydentów związanych z fałszywymi narzędziami do konwersji plików jest zauważalny i niepokojący. Co gorsza, wiele z tych stron w rzeczywistości nie tylko dostarcza spreparowane pliki zawierające malware, ale również zbiera dane wrażliwe użytkowników, takie jak dane logowania, numery kont bankowych czy nawet informacje dotyczące portfeli kryptowalutowych. Cyberprzestępcy nie tylko zmyślnie maskują swoje działania, ale także korzystają z luk w algorytmach reklamowych, które premiują ich strony w wynikach wyszukiwania. To oznacza, że na fałszywe strony trafiają przede wszystkim ci, którzy nie mają specjalistycznej wiedzy technicznej i liczą po prostu na szybkie wykonanie prostej czynności online. Co więcej, przestępcy często manipulują adresami URL, podszywając się pod znane i legalne serwisy. Wystarczy jedna litera różnicy, a użytkownik zostaje przekierowany na stronę pułapkę.
Przykłady wskazane przez specjalistów ds. cyberbezpieczeństwa są niepokojące. Serwisy takie jak docu-flex[.]com czy pdfixers[.]com, które jeszcze niedawno były aktywne, rozpowszechniały pliki.exe wykrywane przez skanery jako niebezpieczne. W innych przypadkach użytkownicy, sądząc że pobierają przetworzony dokument, otrzymywali zamiast tego pliki.zip zawierające złośliwy kod JavaScript — jeden z popularniejszych sposobów infekowania urządzeń przez grupy zajmujące się szerzeniem ransomware.
Od zwykłego użytkownika po instytucje
Niektóre z tych kampanii były wyjątkowo dobrze przygotowane. W jednym z przypadków strona udawała konwerter PDF na DOCX, lecz po spełnieniu określonych warunków – takich jak lokalizacja użytkownika czy jego historia sieciowa – zamiast oczekiwanego pliku oferowała niepozorny skrypt, który był początkiem poważniejszego ataku. Ten plik zainicjował proces infekcji z użyciem złośliwego oprogramowania Gootloader, znanego z instalowania kolejnych komponentów, w tym trojanów, programów szpiegujących i narzędzi do penetracji sieci firmowych. Efektem końcowym takich ataków bywają katastrofalne w skutkach kampanie ransomware. Przestępcy po uzyskaniu dostępu do infrastruktury IT organizacji potrafią sparaliżować jej działalność, żądając ogromnych okupów za odzyskanie danych lub przywrócenie systemów do działania. Wcześniejsze przypadki, jak ataki przeprowadzone przez grupy REvil czy BlackSuit, pokazują, że takie scenariusze nie są czysto teoretyczne.
Szczególnie alarmujące jest to, że ofiarami tego typu ataków nie są wyłącznie osoby prywatne. FBI potwierdziło, że także instytucje publiczne zgłaszają tego rodzaju incydenty. Jeden z takich przypadków miał miejsce w Denver, gdzie fałszywy konwerter plików został wykorzystany do przeprowadzenia ataku na systemy miejskiej komunikacji. Choć nie każdy darmowy konwerter online jest zagrożeniem, FBI apeluje o ostrożność. Zalecają dokładne sprawdzanie źródeł, unikanie przypadkowych linków z wyszukiwarki i analizowanie plików przed ich otwarciem. Z pozoru banalna czynność, jak zamiana formatu dokumentu, może bowiem okazać się początkiem długotrwałych i kosztownych problemów.
