![pinterest](https://pinterest.com/pin/create/button/?url=https://ro.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://ro.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
Google spune că un grup de hackeri de stat ruși trimit fișiere PDF criptate pentru a păcăli victimele să ruleze un utilitar de decriptare care este de fapt malware.
Ieri, compania a publicat o postare pe blog care documentează o nouă tactică de phishing a Coldriver, un grup de hacking pe care SUA și Marea Britanie îl suspectează că lucrează pentru guvernul rus. În urmă cu un an, s-a raportat că Coldriver a vizat trei laboratoare de cercetare nucleară din SUA. La fel ca alți hackeri, Coldriver încearcă să preia computerul unei victime trimițând mesaje de phishing care ajung să livreze malware.
„Coldriver folosește adesea conturi false, pretinzând că este un expert într-un anumit domeniu sau are cumva legătură cu victima”, a adăugat compania. „Contul fals este apoi folosit pentru a contacta victima, ceea ce crește probabilitatea ca campania de phishing să aibă succes și, în cele din urmă, trimite un link de phishing sau un document care conține linkul.” Pentru a determina victima să instaleze malware-ul, Coldriver trimite un articol scris în format PDF, solicitând feedback. Deși fișierul PDF poate fi deschis în siguranță, textul din interior va fi criptat.
„Dacă victima răspunde că nu poate citi documentul criptat, contul Coldriver răspunde printr-un link, de obicei pe stocarea în cloud, către un utilitar de „decriptare” pe care victima îl poate folosi”, a spus Google într-un comunicat. „Acest utilitar de decriptare, care afișează și un document fals, este de fapt o ușă din spate.”
Numit Spica, backdoor este primul malware personalizat dezvoltat de Coldriver, conform Google. Odată instalat, malware-ul poate executa comenzi, poate fura cookie-uri din browserul utilizatorului, poate încărca și descărca fișiere și poate fura documente de pe computer.
Google afirmă că „a observat utilizarea Spica încă din septembrie 2023, dar consideră că Coldriver a folosit ușa din spate cel puțin din noiembrie 2022”. Au fost detectate în total patru capcane PDF criptate, dar Google a reușit să extragă doar un eșantion Spica, care a venit ca un instrument numit „Proton-decrypter.exe”.
Compania adaugă că scopul Coldriver a fost să fure acreditările utilizatorilor și grupurilor asociate cu Ucraina, NATO, instituții academice și organizații neguvernamentale. Pentru a proteja utilizatorii, compania a actualizat software-ul Google pentru a bloca descărcările de pe domenii legate de campania de phishing Coldriver.
Google a publicat raportul la o lună după ce serviciile cibernetice din SUA au avertizat că Coldriver, cunoscut și sub numele de Star Blizzard, „continuă să folosească cu succes atacuri de tip spear phishing” pentru a atinge ținte din Marea Britanie.
„Începând din 2019, Star Blizzard a vizat sectoare precum mediul academic, apărarea, organizațiile guvernamentale, organizațiile neguvernamentale, grupurile de reflecție și factorii de decizie”, a spus Agenția de Securitate Cibernetică și Securitate a Infrastructurii din SUA. „În 2022, activitatea Star Blizzard pare să se fi extins și mai mult pentru a include instalații de apărare și industriale, precum și instalațiile Departamentului pentru Energie al SUA”.
Citeste si: