Специалисты Truesec SOC зафиксировали новую волну кибератак с использованием программы ConvertMate, которая маскируется под легитимный PDF-редактор. С 19 ноября 2025 года наблюдается значительный рост тревожных сигналов, связанных с этим файлом. Первоначально программа выглядит безобидной, однако детальный анализ телеметрии EDR (системы обнаружения и реагирования на конечных точках) выявил подозрительное поведение и высокий потенциал для реализации вредоносных функций.
Описание
Атака начинается с загрузки файла с доменов conmateapp[.]com или trm[.]conmateapp[.]com. По данным открытых источников, распространение может происходить через рекламные объявления, хотя это пока не подтверждено окончательно. После запуска ConvertMate устанавливает соединения с внешними IP-адресами и выполняет DNS-запросы. Затем программа создает серию артефактов: updating_files.zip, native.zip, UpdateRetriever.exe и conmate_update.ps1.
Особую озабоченность вызывает PowerShell-скрипт conmate_update.ps1, который запускается сразу после создания. Он добавляет UpdateReteriver.exe в планировщик заданий с настройкой ежедневного выполнения каждые 24 часа. При активации через планировщик UpdateRetriever.exe повторяет поведение исходного файла, устанавливая внешние соединения и отправляя host-запросы, после чего соединяется с одним из известных доменов: confetly[.]com, climatcon[.]com, conmateapp[.]com, chrialletworton[.]com, banifuri[.]com, dcownil[.]com или vo[.]takelecon[.]com.
Данная схема атаки демонстрирует поразительное сходство с тактиками кампании "PDFEditor", детально описанной двумя месяцами ранее. Критически важным связующим звеном является то, что оба файла подписаны одним и тем же субъектом - AMARYLLIS SIGNAL LTD. Повторное использование известного сертификата значительно усиливает подозрения относительно злонамеренной природы ConvertMate.
Сочетание подозрительных активностей и повторного применения сертификата убедительно свидетельствует, что ConvertMate не является легитимным конвертером PDF-файлов. Скорее всего, программа служит начальным вектором для вредоносной деятельности, аналогично ранее документированной кампании "PDFEditor". Подобные инструменты часто используются для обеспечения устойчивости в системе и последующей доставки вредоносной полезной нагрузки.
Для клиентов Truesec SOC уже добавлены индикаторы компрометации для непрерывного поиска угроз. Параллельно тестируется специальное правило обнаружения, предназначенное для идентификации злонамеренных подписантов. Эксперты рекомендуют немедленно изолировать и удалить программу ConvertMate вместе со связанными артефактами, включая UpdateRetriever.exe, conmate_update.ps1, updating_files.zip и native.zip.
Ситуация развивается, и аналитики продолжают мониторинг активности, связанной с ConvertMate. Повторяющийся характер подобных атак подчеркивает важность многоуровневой защиты, сочетающей технические контрмеры с обучением пользователей. Организациям следует уделять особое внимание проверке цифровых подписей и анализу сетевой активности незнакомых приложений.
Индикаторы компрометации
Domains
- banifuri.com
- chrialletworton.com
- climatcon.com
- confetly.com
- conmateapp.com
- dcownil.com
- trm.conmateapp.com
- vo.takelecon.com
SHA256
- 08b9f93000512b45f8c2e8d3d6624536b366e67c40fd4b958db58e3a1d129c3d
- 09c2af472ab86b62a702e94a39df2bef09205f4249ed871cbeece751c1e7ef4f
- 372d89d7dd45b2120f45705a4aa331dfff813a4be642971422e470eb725c4646
- d9f9584f4f071be9c5cf418cae91423c51d53ecf9924ed39b42028d1314a2edc
