Bleeping Computerは3月23日(米国時間)、「FBI warnings are true—fake file converters do push malware」において、米国連邦調査局(FBI: Federal Bureau of Investigation)が偽のオンライン文書変換ツールに対し注意を喚起したと報じた。

同様のツールによる詐欺報告が増加しているとして、ユーザーに警戒を呼びかけている。

  • FBI warnings are true—fake file converters do push malware

    FBI warnings are true—fake file converters do push malware

侵害手順

FBIの発表によると、詐欺師は無料のオンライン文書変換ツールを公開して、被害者にマルウェアをダウンロードさせ、ランサムウェアなどによる侵害事案を引き起こすという(参考:「FBI Denver Warns of Online File Converter Scam — FBI」)。

具体的には、.docファイルを.pdfファイルに変換、複数の画像ファイルを1つの.pdfファイルに結合、.mp3または.mp4ファイルのダウンロードを可能にするWebサイトなどがある。これらWebサイトやツールは期待通りに機能するが、生成されたファイルにマルウェアを含んでいる可能性があるという。

また、文書や画像の変換時に内容を分析し、次の情報を窃取する可能性があるとされる。

  • 社会保障番号、生年月日、電話番号などの個人識別情報
  • 銀行口座
  • 暗号資産情報(リカバリーフレーズ、ウォレットアドレスなど)
  • メールアドレス
  • パスワード

悪意のあるWebサイトの例

Bleeping Computerによると、セキュリティ研究者のWill Thomas氏は最近、偽のオンライン文書変換ツールを提供するWebサイト「docu-flex[.]com」「pdfixers[.]com」などを発見したという。

  • 悪意のある文書変換ツールを配布するWebサイトの例 - 引用:Archive.org

    悪意のある文書変換ツールを配布するWebサイトの例 引用:Archive.org

これらWebサイトはすでに閉鎖されているが、マルウェアを含む実行可能ファイル「Pdfixers.exe」および「DocuFlex.exe」を配布したとみられる。また、他の研究者からもマルウェアローダー「Gootloader」を配布する文書変換サイトの発見が報告されている(参考:「Gootloader’s Pivot from SEO Poisoning: PDF Converters Become the New Infection Vector – ⌛☃❀✵Gootloader Details ✵❀☃⌛」)。

対策

FBIは同様の攻撃を回避するため、次の対策の実施を推奨している。

  • セキュリティソリューションを導入し、最新の状態に維持する
  • Webサイトからダウンロードしたファイルは開く前にセキュリティソリューションで検査する

Bleeping Computerは追加の対策として、ダウンロードしたファイルに予期しない実行可能ファイルやJavaScriptが含まれている場合、マルウェアの可能性が高いとして触れないように推奨している。

無料かつ安全なソフトウェアは数多く存在する。しかしながら、コストを抑えたいユーザーを標的に、悪意のあるソフトウェアも無料で配布されている。そのようなソフトウェアを回避するため、製品レビューを確認し、知名度の低いWebサイトからのダウンロードは警戒することが望まれている。