Los convertidores de PDF en línea son populares gracias a su conveniencia para transformar archivos entre múltiples formatos, pero según un informe reciente, estas herramientas están siendo explotadas por ciberdelincuentes, quienes clonan sitios legítimos para instalar programas maliciosos en los dispositivos de los usuarios.

De acuerdo con una investigación de CloudSEK, se detectó una campaña en la que se replicaron portales como pdfcandy.com, imitando no solo su apariencia, sino sus logotipos oficiales. Cuando las víctimas intentan utilizar estas plataformas falsas, son engañadas mediante mecanismos fraudulentos que instalan malware en sus sistemas, robando contraseñas, información de navegadores y datos de billeteras de criptomonedas. siendo una estrategia maliciosa advertida además por el FBI.

Cuando el usuario accede a estos portales y solicita la conversión de un archivo, se le presenta una pantalla de carga falsa junto a un CAPTCHA. Aunque esta verificación podría parecer una medida de seguridad estándar, en realidad activa la descarga de un archivo malicioso sin que el usuario lo perciba. 

Este archivo contiene un tipo de malware denominado ArechClient2, perteneciente a la familia SectopRAT, que se camufla utilizando procesos normales de Windows. De esta manera, logra permanecer oculto durante largo tiempo, mientras accede de forma remota a los datos sensibles del dispositivo infectado.

Una vez ejecutado, el malware comienza a recopilar información sensible de forma silenciosa. CloudSEK detalla que ArechClient2 extrae contraseñas almacenadas en navegadores como Chrome o Firefox, además de datos críticos asociados a billeteras de criptomonedas, lo que podría ocasionar pérdidas financieras directas. Toda esta información robada se transfiere automáticamente a los servidores controlados por los ciberdelincuentes.

Los expertos sugieren que se debe redactar manualmente la dirección del sitio web en el navegador, minimizando así el riesgo de ingresar en páginas clonadas. Además, resulta fundamental revisar cuidadosamente la dirección URL del sitio antes de interactuar.