![Pinterest](https://pinterest.com/pin/create/button/?url=https://no.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://no.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
Google sier at en gruppe russiske statshackere sender krypterte PDF-filer for å lure ofre til å kjøre et dekrypteringsverktøy som faktisk er skadelig programvare.
I går publiserte selskapet et blogginnlegg som dokumenterer en ny phishing-taktikk av Coldriver, en hackergruppe som USA og Storbritannia mistenker for å jobbe for den russiske regjeringen. For et år siden ble det rapportert at Coldriver hadde målrettet tre amerikanske kjernefysiske forskningslaboratorier. Som andre hackere prøver Coldriver å ta over datamaskinen til et offer ved å sende phishing-meldinger som ender opp med å levere skadelig programvare.
"Coldriver bruker ofte falske kontoer, utgir seg for å være en ekspert på et bestemt felt eller på en eller annen måte relatert til offeret," la selskapet til. "Den falske kontoen brukes deretter til å kontakte offeret, noe som øker sannsynligheten for at phishing-kampanjen blir vellykket, og til slutt sender en phishing-lenke eller et dokument som inneholder lenken." For å få offeret til å installere skadelig programvare, sender Coldriver en skriftlig artikkel i PDF-format og ber om tilbakemelding. Selv om PDF-filen trygt kan åpnes, vil teksten inni være kryptert.
"Hvis offeret svarer at de ikke kan lese det krypterte dokumentet, svarer Coldriver-kontoen med en lenke, vanligvis på skylagring, til et "dekrypteringsverktøy" som offeret kan bruke," sa Google i en uttalelse. "Dette dekrypteringsverktøyet, som også viser et falskt dokument, er faktisk en bakdør."
Kalt Spica, bakdøren er den første tilpassede skadevare utviklet av Coldriver, ifølge Google. Når den er installert, kan skadelig programvare utføre kommandoer, stjele informasjonskapsler fra brukerens nettleser, laste opp og laste ned filer og stjele dokumenter fra datamaskinen.
Google uttaler at de "observerte bruken av Spica så langt tilbake som i september 2023, men mener at Coldriver har brukt bakdøren siden minst november 2022." Totalt fire krypterte PDF-lokkeduer ble oppdaget, men Google klarte å trekke ut bare én Spica-prøve, som kom som et verktøy kalt "Proton-decrypter.exe".
Selskapet legger til at Coldrivers mål var å stjele legitimasjonen til brukere og grupper tilknyttet Ukraina, NATO, akademiske institusjoner og ikke-statlige organisasjoner. For å beskytte brukerne har selskapet oppdatert Google-programvaren for å blokkere nedlastinger fra domener knyttet til Coldriver-nettfiskingkampanjen.
Google publiserte rapporten en måned etter at amerikanske cybertjenester advarte om at Coldriver, også kjent som Star Blizzard, «fortsetter å lykkes med å bruke spyd-phishing-angrep» for å treffe mål i Storbritannia.
"Fra og med 2019 målrettet Star Blizzard seg mot sektorer som akademia, forsvar, offentlige organisasjoner, ikke-statlige organisasjoner, tenketanker og beslutningstakere," sa US Cybersecurity and Infrastructure Security Agency. "I løpet av 2022 ser Star Blizzards aktivitet ut til å ha utvidet seg ytterligere til å omfatte forsvars- og industrianlegg, samt US Department of Energy-anlegg."
Les også: