![pinterest](https://pinterest.com/pin/create/button/?url=https://sk.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://sk.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
Google tvrdí, že skupina ruských štátnych hackerov posiela zašifrované súbory PDF, aby obeťami prinútila spustiť dešifrovací nástroj, ktorý je v skutočnosti malvér.
Spoločnosť včera zverejnila blogový príspevok dokumentujúci novú taktiku phishingu od Coldriver, hackerskej skupiny, ktorú USA a Spojené kráľovstvo podozrievajú z práce pre ruskú vládu. Pred rokom sa objavila správa, že Coldriver sa zameral na tri americké jadrové výskumné laboratóriá. Rovnako ako ostatní hackeri, aj Coldriver sa pokúša prevziať počítač obete posielaním phishingových správ, ktoré nakoniec doručia malvér.
"Coldriver často používa falošné účty, pričom sa vydáva za odborníka v určitej oblasti alebo má nejaký vzťah k obeti," dodala spoločnosť. "Falošný účet sa potom použije na kontaktovanie obete, čo zvyšuje pravdepodobnosť úspechu phishingovej kampane a nakoniec odošle phishingový odkaz alebo dokument obsahujúci odkaz." Aby obeť prinútila nainštalovať malvér, Coldriver odošle písomný článok vo formáte PDF so žiadosťou o spätnú väzbu. Hoci súbor PDF možno bezpečne otvoriť, text vo vnútri bude zašifrovaný.
„Ak obeť odpovie, že nemôže prečítať zašifrovaný dokument, účet Coldriver odpovie odkazom, zvyčajne na cloudovom úložisku, na nástroj na „dešifrovanie“, ktorý môže obeť použiť,“ uviedol Google vo vyhlásení. "Tento nástroj na dešifrovanie, ktorý zobrazuje aj falošný dokument, je vlastne zadnými vrátkami."
Backdoor, nazývaný Spica, je prvý vlastný malvér vyvinutý spoločnosťou Coldriver, uvádza Google. Po nainštalovaní môže malvér vykonávať príkazy, kradnúť súbory cookie z prehliadača používateľa, nahrávať a sťahovať súbory a kradnúť dokumenty z počítača.
Google uvádza, že "pozoroval používanie Spica už v septembri 2023, ale verí, že Coldriver používa zadné vrátka minimálne od novembra 2022." Celkovo boli zistené štyri šifrované návnady PDF, ale Googlu sa podarilo extrahovať iba jednu vzorku Spica, ktorá prišla ako nástroj s názvom „Proton-decrypter.exe“.
Spoločnosť dodáva, že cieľom Coldriveru bolo ukradnúť poverenia používateľov a skupín spojených s Ukrajinou, NATO, akademickými inštitúciami a mimovládnymi organizáciami. Na ochranu používateľov spoločnosť aktualizovala softvér Google tak, aby blokoval sťahovanie z domén spojených s phishingovou kampaňou Coldriver.
Google zverejnil správu mesiac po tom, čo americké kybernetické služby varovali, že Coldriver, tiež známy ako Star Blizzard, „pokračuje v úspešnom využívaní spear phishingových útokov“ na zasiahnutie cieľov v Spojenom kráľovstve.
"Od roku 2019 sa Star Blizzard zameral na sektory ako akademická obec, obrana, vládne organizácie, mimovládne organizácie, think-tanky a tvorcovia politík," uviedla americká agentúra pre kybernetickú bezpečnosť a bezpečnosť. "Zdá sa, že počas roku 2022 sa činnosť Star Blizzardu ešte viac rozšírila, aby zahŕňala obranné a priemyselné zariadenia, ako aj zariadenia Ministerstva energetiky USA."
Prečítajte si tiež: