Бесплатные «конвертеры» файлов: злоумышленники превращают легальный софт в трояны для удаленного доступа

Хотя детали каждой кампании различаются, их общие черты позволяют выработать единые стратегии защиты. В основе большинства атак лежит один и тот же сценарий. Пользователь, посещая сайт (например, с играми или легитимными инструментами), кликает на вредоносное объявление, размещенное через рекламные сети. Это перенаправляет его на сайт-ловушку, имитирующий сервис конвертации документов или изображений. После нажатия на кнопку загрузки жертва получает исполняемый файл.

Сайты для доставки вредоносной нагрузки демонстрируют поразительное сходство. Они используют один шаблон, включающий разделы с описанием функций, FAQ и политикой конфиденциальности. Среди обнаруженных доменов - ez2convertapp[.]com, convertyfileapp[.]com, powerdocapp[.]com и другие. Зачастую эти домены не хранят файлы напрямую, а перенаправляют пользователя на промежуточный сервер для скачивания.

Чтобы выглядеть легитимнее, вредоносные установщики (dropper) часто подписываются цифровыми сертификатами. На момент анализа многие сертификаты уже отозваны, однако новые кампании появляются с новыми, еще действующими подписями. Среди издателей фигурируют компании, зарегистрированные как законные разработчики ПО.

Типичная цепочка заражения выглядит следующим образом. После запуска «конвертер», написанный на C#, распаковывает в каталог %LocalAppData% дополнительные компоненты. Затем с помощью PowerShell-скрипта создается запланированная задача (scheduled task), которая запускает вредоносный файл, например, UpdateRetriever.exe. Эта задача настроена на выполнение с задержкой в один день и повтор каждые 24 часа. В установочной папке также создается текстовый файл с уникальным идентификатором системы для связи с командным сервером (C2).

Второй этап, UpdateRetriever.exe, также является .NET-приложением. Его основная функция - взаимодействие с C2-сервером. Модуль регистрирует систему, получает токен и затем периодически запрашивает «обновления» с сервера. Эти обновления представляют собой сборки .NET, которые загружаются и выполняются на зараженном компьютере, превращая троян в универсальный механизм для выполнения произвольного кода.

Для защиты от подобных угроз эксперты рекомендуют многослойный подход. Ключевым индикатором является создание подозрительных запланированных задач, указывающих на исполняемые файлы в %LocalAppData%. Для их обнаружения необходимо активировать аудит соответствующих событий Windows, например, Event ID 4698 (создание задачи), а также использовать мониторинг реестра через Sysmon (Event ID 13). Дополнительную ценность представляют события Operational-канала планировщика задач.

Технологии контроля приложений, такие как AppLocker или WDAC, создают дополнительный барьер. Поскольку все вредоносные компоненты запускаются из пользовательских каталогов, политика, запрещающая выполнение из %LocalAppData%, эффективно блокирует атаку. Кроме того, можно настроить правила для блокировки исполняемых файлов, подписанных скомпрометированными сертификатами.

Для оперативного выявления уже состоявшихся инцидентов эффективно использовать специализированные инструменты, такие как THOR. Даже базовые правила и эвристики позволяют обнаружить подозрительные запланированные задачи и связанные с ними артефакты. При сканировании система THOR коррелирует события, извлекает содержимое файлов задач и выявляет соединения с подозрительными доменами, что значительно ускоряет расследование.

Таким образом, несмотря на масштаб и разнообразие кампаний, их общая схема позволяет организациям выстроить надежную защиту. Комбинация мониторинга запланированных задач, контроля приложений и проактивного поиска угроз способна предотвратить или своевременно обнаружить заражение через поддельные «конвертеры».

Domains

• conmateapp.com
• convertmasterapp.com
• convertyfileapp.com
• crystalpdf.com
• ez2convertapp.com
• infinitedocsapp.com
• notawordapp.com
• onezipapp.com
• pdfclickapp.com
• pdfskillsapp.com
• pdfsparkware.com
• powerdocapp.com
• zappdfapp.com
• zipmatepro.com

SHA256

• 00f0338e7caa630d10347a5bebed83bb4c11ebce34f4470a213f93828a66addf
• 021fcfbb9aee1d244366e0a382d24ccf673e4b07ef5f1e6f9757b99a32c57d64
• 043d05291790a2675feceec065f227852741567de18124ce0823ef1c3cdf81ee
• 04a24abc73fff7dca5d619653b3fa2370c99599ad213c6d5b8b60b29f645fc6b
• 062a49701b82b5a2df77d7cb583e12736fc77e42b94d1bf55da23457f9b8bab5
• 06a83c4c3d41aed15fc6a9f31f16a3730723d4041f1aa7ed966711b9e374b2a3
• 08b9f93000512b45f8c2e8d3d6624536b366e67c40fd4b958db58e3a1d129c3d
• 08da2fefbd4708fce4b5548c044678c468af412c20066840ed816aa5b8bc6a87
• 09109daf67d7a056cec5c09ce3eac1aa2999b613e297c56bd5176afda427e624
• 09c2af472ab86b62a702e94a39df2bef09205f4249ed871cbeece751c1e7ef4f
• 09d148539a423c314516ed608432749fd5e1281ad096e7283fac656872a53140
• 0a11983b15d1fcf62e637cb7c2ad185baf8cb124a7973ce616e25000fe64bb3f
• 0ac92a1d215b2921cf0e41274ad7def4f6f2df988747a6d361fb58e67fd8890f
• 0c317bf697cf919f8708ce49ffb2588f481a6035edab5e0d7ec38640bb4c8a57
• 0cf56f52467b3426d63eb770c1b0f2a3d3b932a3ee46c24d078895301fdf3094
• 0d16f30ec7a54173ad42f91abfd1f8c66f84e52f8eb9a1db3753b26b3712a425
• 0edd3de73a63f65b68cff15ae32ea224c023d1339de9fb95046b0fbf17c8d1a5
• 0f76f6a9f7c2575f9312953d37b51a8e1a7cc38a0758e272deef25bd6593306e
• 176cdfdb775d909ddb14cc5c3e7e035d1dd6ea7a36efe37e663f840fa75b9500
• 186aa2c281ca7bb699ce0b48240b7559a9ac5b0ba260fb78b81ec53249548f62
• 1994b6c8c30b4346f6b00da12fc161eb73210af08b914a1c4768b109b234f2df
• 1f46e752ec127c6fb7c2ee4a6a049af0fa6881763d7a3bfc356cacd4b95afee2
• 21c1f4758bdf39c368bfa224380d78bf3674e776a830f01f12899fc928cf969d
• 2252b67088e9fd0fec7f4a96fe442a7e4d77e9a5bb8ef803b8056a50ef19ea60
• 26bb02cac46fd4b025ffca55ea3ecf1cc2a63f5301bcb07badd6c8cfcdc81bbf
• 27262f4bf8096f04e53309d4ce603cfbeb27ed10abdf1c461d3ccb14e012f61e
• 29ec80996af90dca4f8612c2951028be11e59502a2734c9729cc273dfff4e2eb
• 2b070abdbb7fb795fd0f16f95aa1b074270c0e73166e4bbc5733690c102c0b21
• 2b4b63737a540d342d32a9edca06195b5c028c3b4fb9af578a736d731e7fdddd
• 2cefdd467349a7412c18fd9cce8c5190530244963491453ab27ed6ef60f41fe2
• 2d980ec155001d365a72cff9a86f3826e40d7aa155df973d3a85bcc6b37771ff
• 3199c93d3301fa84f0d803932b2c67da0ecd9381a584f4fc52e84822da594579
• 35034d19a0ba86425e4e6f7455c68410c0183c36dae932bf47216d585de0cfa2
• 35be0a7628fbf5401730c01b0aaa1c0033e6993349b02135a1fbcb7adb7d5250
• 3a32421848f4175aebb1007f4c1337f9140190739722ba46801a4c295d4f0f3b
• 3ac901c436e9989225482a0e5467c9af7c329b325de29f5dff09249b72a643a6
• 3c32e12668c612acdfdb82dc761342a33660c2f966b9047dd4f5909e545f37dc
• 3c3ab1a92c9a7ef5bca3b23cbb99adb0d5e339ed09081e3a5ac32a0a31cc1fc2
• 3d82200083a86df09c3b16c9095b844738a76863b1b01092b6c4dbef3b974b12
• 3dad32204449e51e0f03d8a56439413beee266f5cf323034917e4d80eb2e8bf2
• 427b4f7ad5bc5a6977425027d78117b143cd95076585190483fbc586b3d281a6
• 43d559e9fedc9b0bac57f92b5b51d5c58ac730b0b7234365394f619a06021664
• 449be9e617efdbbf57169e452ec4d20935e67e524bc26335a73209821873f3c7
• 45da5caa19b45f20fcef0e00d39cf84db5189a6bc85fe007f03414fe9d15db7f
• 469bf37e3ef3e64dc56009eaab45b09b0d14c76a21a16dd328d9696f1a367d8e
• 46c9f63648d1a0fab977ec7b921ee1111a85402591984b12bd41391ecb2f5d6e
• 49e71ff9addb76bad185379d09fbf96553b89af8bc9e078012d9917da7351551
• 4b23e861a1c969ed479d5d565dc8c7b2faedb772909ea8b4fa5aa5666698036d
• 4b928e46b3710fad588217645f4bc7079eef1ebb2b8d8c2caade21300e28d0d2
• 4c6f36ef5ceba6fb257dcd1f5e77b9e54cc3315de4fa7eebe0ff9df16de29195
• 4d5fc3f1dc446add61f03d8ef18d40d8d26a8b5477f18bc2b5ee0402fdf1f81c
• 51d4b6935205b8aef162daa87935ee0f0fb6a1b3fedcaaadff2eaa8075aaf3fe
• 536f7c8744dddeb9dff8eb9a13f0f0bf82e0ce928a5e81c4691affc7d858f48d
• 53d0dffae8ff8c4d46a9916cc592f6c3577622946a785c51739e306d704f53f3
• 551fd8fc203535514b8ae704229de8ebdd6425dfb8c4b6a430d7a030a6b3b9e5
• 598da788600747cf3fa1f25cb4fa1e029eca1442316709c137690e645a0872bb
• 5a68b3f3f02fa768d97d6980680e20e6a18c64c9cd7b648803bd041e125048b9
• 5ac2041454d46f138c2aa75a15f43372600143bf952ac656aa96288442a56946
• 5ae866358a4d24c8f3b81bf6790af2f90401bc07e0b07494f9867d95fb4b48f3
• 5b42df932d0ab1aabaeabb6970973e0add6ad3ad5303dd96fcb681b074ea3ce7
• 5b9e9609ba2c494f8a71b7725896356c13e39db5216f40d9e6078819ec8d5f2a
• 5e1589a760f1420be634fc17816456da36c8df1bea752d99becde1a579d65d21
• 5f0a98d243af2771d32d9789cc8eda7ec83adeaf429371be015d61a0454d1f99
• 5fbd757487c4bcbfcad518f8ac8d54d2a683a17f47e9044a6605980e88787849
• 64954b00681201ce5bbb21bcb22d781076f3abf9211b40aaf717f6dc04e0beeb
• 64aaadd4c13d1b3e0daae138e5cc879c62b9e73787d4271567f46fbf5b5f440f
• 666d8f132048755cc2951437d6e2f66795a3345a070be15dd67098378e919f8a
• 6992aaa7289e78999d148d81edac4d0ca3ac14a62aa69fda8c05ce9f6614301d
• 6a37a5396c9b58f2e4f4d25269525c8af0c56b3c5f15000ef20f935f95718113
• 6aaef46a0634ef190c3ceebfaac7e5e4754ec3da1ba70165a53bca191732df7e
• 6ae8c50e3b800a6a0bff787e1e24dbc84fb8f5138e5516ebbdc17f980b471512
• 6badb19b985bbbefc1015a80fabbddc078b8daf32b0164e96e86c84439d14372
• 6bf2cc4e9d9901541214d7efc8bb8bb24ef5bddc238598333c843e421c042c6b
• 6cb7c263e9aed289d52385bae7e721811edbe723363c7ef38eaf7ba58a78b492
• 6d0d319dd6330e1f5fcd05471932c2ce6449e50ed1c5e5ed9a5320997af6c24e
• 709b1ad5c05ca938531dec06109dc24fc3396ab22141a3bb64e11e9b8b285b88
• 717c2728b957a7faecb7d1ac057bb03053f6397bbc369092c493daf6d45dc67c
• 753c0912aa9680237d9419fb6df530abbabeb551b93a1eb6849627689a0d4c92
• 76a1d8c48efc909e616dedd06edacd09791fc964ed4ae0088a15691a6289d41d
• 76caa26aabc2fd6cb3a7ad4a0eb5d8cc7062e430fbf78cc9fb4ed6d61be8f761
• 77358ff5cb1546c643a476e9047541adb49b53e3b37c897f0e5232df2c576012
• 7744b67501a840ba687c641b01e9924d40a034b02582e0f233174e11a85480d3
• 785f8dcd7dc657ae11cb305369168a9028653d64d2ec88f93b12512bd973650b
• 793b95e8e431e79c84058f741728fa69a41635db65ebbc23e0bc71e392cf12c3
• 7c6c4844b4ad7f4d94cfeaa019a50844339fca659dd5b794e86f0977fb496642
• 81693d22d46d1a539f39d44ba4a2d269ccd485fa0b94d1386d4157ddbb277cc5
• 827a8d5f63f5bd83cc7248f99a52f7176c802bf6751896f2e836ca7a62325aaf
• 82fe769c4088acbaefa516d163333d8bdd0bdd7e5d07a21648fb985b32e7e12d
• 8421d536f90980b8962fa737f1bbae32b387237f34f2f8a40466f90315c85931
• 86de6ed7c10681ee8192ec888a0d845b3dc9f0d31a770619faf97344f97be83d
• 87cec3315255e1b9140077b071134da1487414c09506f87f018acb945fc415dc
• 880f2093e58d5aa40f3b6784748f12008b8f9ff0b07f9fe93d71810ded867217
• 8877659b9fb67f891ff5c725cfd83fb243610a98657118d07687c0be4bc4890a
• 8a0b69a61c3f365abe0f93715d8b8dd409e2b654c60e063d67c9aa70fe9ac7a5
• 8aa70fdc57303e3a5efc82d2b4a5bbdba6587fb17c7be63647014eabcf05e591
• 9263cda53e23ec8afec8de089393f45b889f9c5e40ecf51c8465d226293592fa
• 926ef1a9ac8c380b53068b2eda7a1cf8e15bd661b24a422276051debd979af17
• 92cf26ac4fbce70f5e2b65dde547bd27e45d923dcf51a70c9e073024f671969e
• 93504f337baf56db3dfeae49801381e524814601f20ef1c0ce6f63e3a86ec69b
• 960889d1a5896a2dc684fe6a887c6318f871807b6e3a8e5d0b18c5b088dd8104
• 9892f85925080f8c0929f337133280b8d1dce5ff311cfd0a2a56c5a968cbc304
• a2ec43fd857f2bb7c176bc6661c533204e2a64916eed32f968d51e7f44bc2a62
• a54005386c3eff1af6007d0b76b6d2cfa719762622dea4c746bb82ed55997539
• a769274d01dda847b8fbc8179c0a4fd53d1ee7e3af7d4a4192ba7ed6fbccff70
• a7d18f0ef0ee06ae80801e4afb6cd6c2342dcf7b4a81e5c3ff8431dfcd5e7081
• aa224aa8d3d1656ee87a336f32278d1d018bd24fd559fe176df5babe9af373ec
• ac4119cfabf9d29b68ddacb0efdfe9ce555fc0569327e102094a45a6c1cf23cb
• ada73135ec9b16212e289374337cf52aa400c0e692af9ef37a2c8aa7f9af8612
• ae8cca2b0e0afc7fc2905983059d731a065be9313bdd97ffe94afd1169307116
• aead247067b61aca1a46a33029b5715d5a5eb645b509f2b6bb34d42675d1bb01
• b5133ffb26ecdf40d5fa57c477a053a4dc2488f767256f01b2622d0a03a8436c
• b61dd6d72c2ec6f7ba6d8a3e63f3ade377821cf7b9b1692b333a0baba646a6ac
• b635d9b4ccd6c44f1aa181460ffb0688a0b5f87e61cc265010b161e1d9fdeb02
• b64cd8742bdb296b3f582c9f2ef851c2d3beed12a0ee88a36be560d07bf9a275
• b6a521973f63be66e87111b38b39dbf8a42bd4a276db546d53c58712c5e6b9a8
• b6b633f32933b2f3001cc64c452c32dbda8478e6d7405f53dcde30f3630f0867
• b6e014cd6745a3fbe5110a85c2292f767dc806a80654d3b02f96771bc4313864
• ba268eea4bbaee298e9e85b482dd73d03444671daf8bc157f42ed8b6731aa1a2
• bae02d368de7b302c5f5449e12dffae3594bdc45bb444688b77bc42c71dfdf48
• bb7136bd3558ff3851cb90d24dfe69177fd7f59c00ae93a0986d2081e9705471
• bcaafb55e8b91ac3148bd8d067daf3dfda3a2d42f4ad5273a2d261857a909449
• bdb90727cb726d425015306dbcaf148b363bd11dbc911c7296d9fcbbef139a76
• bdcb94536af64da0e7b5db0f61cfec0a942b16457f6119aa2c32b651f3865198
• c0dca3eec2f05c165382646eca7dca00586d49b8eccbe2c293babe268b5cf0b4
• c3715cea525798edd6803a44fca33c7891ff8ccb5ff7a74d8398315b19121395
• c4a9c07dd89b84b9fd1795fc8170333a79c7796c6cb73fea4d8d414fee1f733b
• c60a9792f93e923834545153ec31f3420878c0d94c011a6b7ef30b5a2074a38a
• c86e8c05fdaffc36d0b5267051119d0b47c16c2ead34f43f6598bbd84b1760e8
• c919896243f96b5ed0dd110c6c95d15e46e1cc7367ef6130f95cb7b5e62b9018
• c9f866da36cd2abe0283c5fa1f46f650908603d7ad2af205c0ff8a511f3da62d
• ce9bcc2b454199470788bec46496d32981250b9b5ceeb268acede3bc826e87c1
• d0c7471c7950b2f80dbf92f929dfb0f10d518b551b326e56e9b2870de90196f3
• d2f5a074c5ea4c29523cca520f52f9dae3e3ab0c900be97367613f703e4daec8
• d9f9584f4f071be9c5cf418cae91423c51d53ecf9924ed39b42028d1314a2edc
• dc9f08e2648598f493a1c6b592dc042ac3751f2e4aee40f66b075f4c9e159590
• ddbc8a1a4372071d2b901c55bc29ad6653dac6043c1d67d610dcdef62ae61a60
• de18073e963e2ad0a9c5e7002443dc45afd661df398e1e02ea9262162dc3cc75
• e121ab4fb9a9773b53e64db246e6fe5c362f6606d74467245e863bb26f31cf00
• e6696f2be034e1d113fabec1c3843704ee7cc88ce0624bba3e942e32dd7e99c5
• e95de8452d32b439e0286868ed16f63943af3bc059dca6bcb48d1cbe2431440e
• e9d85e1d604b1fdd3c2211ef67e007a7101f45d99de0567728ce0e74493b0d61
• eb50b5d87e995f76ee66abf90bab7e718b507a69392582c0a97824c64ab9fbe9
• eb680e33bd5dcfe1bf4edbc60ceb3f7013fe93cfbb93390d47e869afa3fc9fd1
• ec5e45ad43e55f6cce191342e2274eb108ede90f909379b54448147db0721c0d
• ecf876ac0225934c183cdf76f55f0ba2d1c5cf86a52d2ba882cdc33eda11f878
• ee35301bda486e27483109c08615c4af6476bc45ff96f5627e2ca62d36171e6e
• f05296b7881f233187ca9c9ebcadd718b5e88727e2743873dfbedea001b19772
• f3c11d0d18c5fe7c40c2ff833a618a46873ae99b0e7525f692d407395fd61b8b
• f756da4ded4cf2429ba69125cb8d42fac44f7d9c1dfa6dc56af18341b84c103b
• f7a63882c9f3611603f12163e06ea04220645367d81ce90e5ef6e5033246c87c
• f87c8cfce2afbe22499034de45bb1c4423fbf329c84b4c3d8a3aa7d9821f39ea
• f89caa0a8006ff2d1a0a85801c2617ccc772e9bb70e34961e14a5f0570119183
• f9c796a4ad9e17b7b0c6b64e8787095ed6b19d5d2ae1dd5988f78b1296a2a192
• fb96f3fbe71f85a60deee750be9c49dbaa1a2034636742ae6951db7bafabc220