Полевое отделение Федерального Бюро Расследований США в Денвере распространило предупреждение о киберугрозе. В нем сказано, что агенты получают постоянно растущее число жалоб на сайты, которые рекламируются как ресурсы для бесплатной конвертации файлов различных форматов, но в действительности распространяют вредоносное ПО. Речь идет, в частности, об инструментах для конвертации текстовых файлов (например, из .doc в .pdf), а также о программах для объединения нескольких файлов одного формата в один файл другого (например, нескольких .jpeg в один .pdf).

Сайты, об опасности которых предупреждает ФБР, осуществляют обещанную конвертацию, однако вместе с результатами операции на устройства пользователей загружается вредоносное ПО. Оно может использоваться для похищения конфиденциальных данных и служить для последующей организации вымогательских атак. При этом злоумышленники вкладывают деньги в продвижение своих ресурсов, повышая вероятность их появления в первых строчках поисковых выкладок.

Информацию ФБР уже подтвердил исследователь проблем кибербезопасности Уилл Томас. Он назвал два конкретных сайта, участвующих в этой вредоносной кампании - docu-flex.com и pdfixers.com (оба в настоящее время уже недоступны). При загрузке на них файла .pdf после конвертации на устройство пользователя загружается не файл .docx, а архив .zip, из которого и предлагается восстановить нужный файл. Однако архив содержит еще и вредоносный JavaScript-код, который устанавливает на устройства Gootloader - зловред, используемый для загрузки на инфицированное устройство дополнительных вредоносных программ: банковских троянцев, похитителей информации и т.д. Ранее подобная схема использовалась в атаках вымогательских группировок REvil and BlackSuit.

Специалисты по кибербезопасности отмечают, что не все бесплатные инструменты для конвертации файлов в интернете непременно являются вредоносными. Однако при обращении к ним пользователям необходимо проявлять максимальную бдительность и осторожность.