![Pinterest](https://pinterest.com/pin/create/button/?url=https://da.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://da.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
Google siger, at en gruppe russiske statshackere sender krypterede PDF-filer for at narre ofrene til at køre et dekrypteringsværktøj, der faktisk er malware.
I går offentliggjorde virksomheden et blogindlæg, der dokumenterer en ny phishing-taktik af Coldriver, en hackergruppe, som USA og Storbritannien mistænker for at arbejde for den russiske regering. For et år siden blev det rapporteret, at Coldriver havde angrebet tre amerikanske atomforskningslaboratorier. Som andre hackere forsøger Coldriver at overtage et offers computer ved at sende phishing-beskeder, der ender med at levere malware.
"Coldriver bruger ofte falske konti, foregiver at være ekspert på et bestemt område eller på en eller anden måde relateret til offeret," tilføjede virksomheden. "Den falske konto bruges derefter til at kontakte offeret, hvilket øger sandsynligheden for, at phishing-kampagnen bliver en succes, og i sidste ende sender et phishing-link eller et dokument, der indeholder linket." For at få offeret til at installere malwaren, sender Coldriver en skrevet artikel i PDF-format og beder om feedback. Selvom PDF-filen kan åbnes sikkert, vil teksten indeni være krypteret.
"Hvis offeret svarer, at de ikke kan læse det krypterede dokument, svarer Coldriver-kontoen med et link, normalt på cloud storage, til et "dekryptering"-værktøj, som offeret kan bruge," sagde Google i en erklæring. "Dette dekrypteringsværktøj, som også viser et falsk dokument, er faktisk en bagdør."
Døbt Spica, bagdøren er den første brugerdefinerede malware udviklet af Coldriver, ifølge Google. Når den er installeret, kan malwaren udføre kommandoer, stjæle cookies fra brugerens browser, uploade og downloade filer og stjæle dokumenter fra computeren.
Google oplyser, at det "observerede brugen af Spica så langt tilbage som i september 2023, men mener, at Coldriver har brugt bagdøren siden mindst november 2022." I alt fire krypterede PDF-lokkere blev opdaget, men Google formåede kun at udtrække én Spica-prøve, som kom som et værktøj kaldet "Proton-decrypter.exe".
Virksomheden tilføjer, at Coldrivers mål var at stjæle akkreditiver fra brugere og grupper tilknyttet Ukraine, NATO, akademiske institutioner og ikke-statslige organisationer. For at beskytte brugerne har virksomheden opdateret Google-software til at blokere downloads fra domæner, der er knyttet til Coldriver-phishing-kampagnen.
Google offentliggjorde rapporten en måned efter, at amerikanske cybertjenester advarede om, at Coldriver, også kendt som Star Blizzard, "fortsætter med succesfuldt at bruge spear phishing-angreb" til at ramme mål i Storbritannien.
"Siden 2019 har Star Blizzard rettet sig mod sektorer som den akademiske verden, forsvaret, statslige organisationer, ikke-statslige organisationer, tænketanke og politiske beslutningstagere," sagde det amerikanske agentur for cybersikkerhed og infrastruktursikkerhed. "I løbet af 2022 ser Star Blizzards aktivitet ud til at være udvidet yderligere til at omfatte forsvars- og industrifaciliteter samt US Department of Energy-faciliteter."
Læs også: