![Pinterest](https://pinterest.com/pin/create/button/?url=https://bg.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://bg.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
Google казва, че група руски държавни хакери изпращат криптирани PDF файлове, за да подмамят жертвите да стартират помощна програма за дешифриране, която всъщност е зловреден софтуер.
Вчера компанията публикува публикация в блог, документираща нова фишинг тактика от Coldriver, хакерска група, която САЩ и Обединеното кралство подозират, че работи за руското правителство. Преди година беше съобщено, че Coldriver е атакувал три американски лаборатории за ядрени изследвания. Подобно на други хакери, Coldriver се опитва да превземе компютъра на жертвата, като изпраща фишинг съобщения, които в крайна сметка доставят зловреден софтуер.
„Coldriver често използва фалшиви акаунти, представяйки се за експерт в определена област или по някакъв начин свързан с жертвата“, допълват от компанията. „След това фалшивият акаунт се използва за връзка с жертвата, което увеличава вероятността фишинг кампанията да бъде успешна и в крайна сметка изпраща фишинг връзка или документ, съдържащ връзката.“ За да накара жертвата да инсталира зловреден софтуер, Coldriver изпраща писмена статия в PDF формат с молба за обратна връзка. Въпреки че PDF файлът може да бъде безопасно отворен, текстът вътре ще бъде шифрован.
„Ако жертвата отговори, че не може да прочете шифрования документ, акаунтът на Coldriver отговаря с връзка, обикновено в облачно хранилище, към помощна програма за „дешифриране“, която жертвата може да използва“, се казва в изявление на Google. „Тази помощна програма за декриптиране, която също показва фалшив документ, всъщност е задна врата.“
Наречен Spica, задната врата е първият потребителски зловреден софтуер, разработен от Coldriver, според Google. Веднъж инсталиран, зловреден софтуер може да изпълнява команди, да краде бисквитки от браузъра на потребителя, да качва и изтегля файлове и да краде документи от компютъра.
Google заявява, че „наблюдава използването на Spica още през септември 2023 г., но вярва, че Coldriver използва задната врата поне от ноември 2022 г.“ Бяха открити общо четири криптирани PDF примамки, но Google успя да извлече само една проба от Spica, която дойде като инструмент, наречен „Proton-decrypter.exe“.
Компанията добавя, че целта на Coldriver е била да открадне идентификационните данни на потребители и групи, свързани с Украйна, НАТО, академични институции и неправителствени организации. За да защити потребителите, компанията актуализира софтуера на Google, за да блокира изтегляния от домейни, свързани с фишинг кампанията на Coldriver.
Google публикува доклада месец след като американските кибер услуги предупредиха, че Coldriver, известен също като Star Blizzard, „продължава успешно да използва фишинг атаки“, за да удари цели в Обединеното кралство.
„От 2019 г. Star Blizzard се насочи към сектори като академични среди, отбрана, правителствени организации, неправителствени организации, мозъчни тръстове и политици“, казаха от Агенцията за киберсигурност и сигурност на инфраструктурата на САЩ. „През 2022 г. дейността на Star Blizzard изглежда се е разширила още повече, за да включи отбранителни и индустриални съоръжения, както и съоръжения на Министерството на енергетиката на САЩ.“
Прочетете също: