恶意软件活动是使用假PDF将DOCX转换器用作将恶意PowerShell命令潜在机器上的向量，从而使攻击者能够访问Crypto钱包，Hijack浏览器凭据并窃取信息。

跟随联邦调查局警报上个月，Cloudsek安全研究团队进行了一项调查，揭示了有关攻击的细节。

目的是欺骗用户执行PowerShell命令，该命令安装了Arechclient2恶意软件（Sectoprat的一种变体），这是一个窃取了从受害者那里收集敏感数据的家庭的信息。

恶意网站模仿了合法文件转换器pdfcandy的网站，但是下载了恶意软件，而不是加载真实的软件。该站点具有加载条甚至验证验证验证，以使用户陷入错误的安全感。

最终，经过几次重定向，受害机器下载了一个包含有效载荷的“ adobe.zip”文件 - 将设备曝光到自2019年以来一直处于活动状态的远程访问Trojan。

这使用户开放了数据盗窃，包括浏览器凭据和加密货币钱包信息。

该恶意软件“检查扩展商店，将种子短语抬起，甚至taps top to web3 API，以便在批准后进行幽灵资产，” Blockchain Security Security Hacken的DAPP审计技术负责人Stephen Ajayi告诉Hacken。解密.

Cloudsek建议人们使用防病毒和Antimalware软件，并“验证不仅仅是扩展的文件类型，因为恶意文件通常会伪装成合法的文档类型。”

这家网络安全公司还建议用户依靠“来自官方网站的受信任的，信誉良好的文件转换工具，而不是搜索“免费在线文件转换器”，并考虑使用“不需要将文件上传到远程服务器上传的离线转换工具”。

Hacken Ajayi建议加密用户记住：“信任是一种频谱，它赢得的，没有给予。在网络安全方面，假设默认情况下没有任何安全。”他补充说，他们应该：“应用零信任的心态，并使您的安全堆栈保持最新，尤其是EDR和AV工具，这些工具可以标记Rogue msbuild.exe Activity等行为异常。”

阿贾伊（Ajayi）指出：“攻击者不断发展，防守者也应该不断发展，并补充说，“定期培训，情境意识和强大的检测覆盖范围是必不可少的。保持怀疑，为最坏的情况做好准备，并始终有一本经过测试过的响应剧本，准备出发。”