![Pinterest](https://pinterest.com/pin/create/button/?url=https://cs.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://cs.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
Google říká, že skupina ruských státních hackerů posílá zašifrované soubory PDF, aby přiměli oběti spustit dešifrovací nástroj, který je ve skutečnosti malware.
Včera společnost zveřejnila blogový příspěvek dokumentující novou phishingovou taktiku Coldriver, hackerské skupiny, kterou USA a Spojené království podezřívají z práce pro ruskou vládu. Před rokem bylo oznámeno, že Coldriver se zaměřil na tři americké jaderné výzkumné laboratoře. Stejně jako ostatní hackeři se i Coldriver pokouší převzít počítač oběti odesíláním phishingových zpráv, které nakonec doručují malware.
"Coldriver často používá falešné účty, vydává se za odborníka v určité oblasti nebo má nějaký vztah k oběti," dodala společnost. "Falešný účet je pak použit ke kontaktování oběti, což zvyšuje pravděpodobnost úspěchu phishingové kampaně a nakonec odešle phishingový odkaz nebo dokument obsahující odkaz." Aby si oběť nainstalovala malware, Coldriver odešle psaný článek ve formátu PDF s žádostí o zpětnou vazbu. Přestože lze soubor PDF bezpečně otevřít, text uvnitř bude zašifrován.
„Pokud oběť odpoví, že si nemůže přečíst zašifrovaný dokument, účet Coldriver odpoví odkazem, obvykle na cloudovém úložišti, na nástroj ‚dešifrování‘, který může oběť použít,“ uvedl Google v prohlášení. "Tato dešifrovací utilita, která také zobrazuje falešný dokument, je ve skutečnosti zadní vrátka."
Backdoor, přezdívaný Spica, je podle Google prvním vlastním malwarem vyvinutý společností Coldriver. Po instalaci může malware provádět příkazy, krást soubory cookie z prohlížeče uživatele, nahrávat a stahovat soubory a krást dokumenty z počítače.
Google uvádí, že „pozoroval používání Spica již v září 2023, ale věří, že Coldriver používá zadní vrátka přinejmenším od listopadu 2022“. Byly detekovány celkem čtyři šifrované návnady PDF, ale Googlu se podařilo extrahovat pouze jeden vzorek Spica, který přišel jako nástroj s názvem „Proton-decrypter.exe“.
Společnost dodává, že cílem Coldriveru bylo ukrást přihlašovací údaje uživatelů a skupin spojených s Ukrajinou, NATO, akademickými institucemi a nevládními organizacemi. Aby společnost ochránila uživatele, aktualizovala software Google tak, aby blokoval stahování z domén spojených s phishingovou kampaní Coldriver.
Google zveřejnil zprávu měsíc poté, co americké kybernetické služby varovaly, že Coldriver, také známý jako Star Blizzard, „pokračuje v úspěšném používání spear phishingových útoků“ k zasahování cílů ve Spojeném království.
„Od roku 2019 se Star Blizzard zaměřuje na sektory, jako je akademická sféra, obrana, vládní organizace, nevládní organizace, think-tanky a tvůrci politik,“ uvedla americká Agentura pro kybernetickou bezpečnost a bezpečnost. "Zdá se, že během roku 2022 se činnost Star Blizzard rozšířila ještě dále, aby zahrnovala obranná a průmyslová zařízení, stejně jako zařízení amerického ministerstva energetiky."
Přečtěte si také: