![Pinterest](https://pinterest.com/pin/create/button/?url=https://bs.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://bs.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
Gugl kaže da grupa ruskih državnih hakera šalje šifrovane PDF fajlove kako bi prevarili žrtve da pokrenu uslužni program za dešifrovanje koji je zapravo zlonamerni softver.
Jučer je kompanija objavila post na blogu koji dokumentuje novu taktiku phishinga od strane Coldrivera, hakerske grupe za koju SAD i Velika Britanija sumnjaju da radi za rusku vladu. Prije godinu dana objavljeno je da je Coldriver ciljao tri američka nuklearna istraživačka laboratorija. Kao i drugi hakeri, Coldriver pokušava preuzeti žrtvin računar slanjem phishing poruka koje na kraju isporučuju zlonamjerni softver.
"Coldriver često koristi lažne naloge, pretvarajući se da je stručnjak u određenoj oblasti ili na neki način povezan sa žrtvom", dodala je kompanija. "Lažni račun se zatim koristi za kontaktiranje žrtve, što povećava vjerovatnoću da će kampanja biti uspješna, i na kraju šalje phishing link ili dokument koji sadrži vezu." Kako bi natjerao žrtvu da instalira zlonamjerni softver, Coldriver šalje pisani članak u PDF formatu tražeći povratnu informaciju. Iako se PDF datoteka može bezbedno otvoriti, tekst unutra će biti šifrovan.
"Ako žrtva odgovori da ne može pročitati šifrirani dokument, Coldriver račun odgovara vezom, obično na pohrani u oblaku, do uslužnog programa za 'dešifriranje' koji žrtva može koristiti", navodi Google u izjavi. "Ovaj uslužni program za dešifriranje, koji također prikazuje lažni dokument, zapravo je backdoor."
Pod nazivom Spica, backdoor je prvi prilagođeni malver koji je razvio Coldriver, prema Google-u. Jednom instaliran, zlonamjerni softver može izvršiti naredbe, ukrasti kolačiće iz pretraživača korisnika, otpremiti i preuzimati datoteke i ukrasti dokumente sa računara.
Google navodi da je "uočio upotrebu Spica još u septembru 2023., ali vjeruje da Coldriver koristi backdoor najmanje od novembra 2022." Ukupno su otkrivena četiri šifrovana PDF varalica, ali je Google uspio izdvojiti samo jedan Spica uzorak, koji je došao kao alat pod nazivom “Proton-decrypter.exe”.
Kompanija dodaje da je Coldriverov cilj bio da ukrade akreditive korisnika i grupa povezanih s Ukrajinom, NATO-om, akademskim institucijama i nevladinim organizacijama. Kako bi zaštitila korisnike, kompanija je ažurirala Google softver kako bi blokirala preuzimanja s domena povezanih s kampanjom phishinga Coldriver.
Google je objavio izvještaj mjesec dana nakon što su američke sajber službe upozorile da Coldriver, poznat i kao Star Blizzard, "nastavlja uspješno koristiti napade phishing-om" za pogađanje ciljeva u Velikoj Britaniji.
„Počevši od 2019. godine, Star Blizzard je ciljao sektore kao što su akademska zajednica, odbrana, vladine organizacije, nevladine organizacije, trustovi mozgova i kreatori politike“, saopštila je američka Agencija za sajber sigurnost i sigurnost infrastrukture. "Tokom 2022., čini se da se aktivnost Star Blizzarda još više proširila i uključila odbrambene i industrijske objekte, kao i objekte američkog Ministarstva energetike."
Pročitajte također: