![Pinterest](https://pinterest.com/pin/create/button/?url=https://el.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://el.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
Η Google λέει ότι μια ομάδα Ρώσων κρατικών χάκερ στέλνει κρυπτογραφημένα αρχεία PDF για να ξεγελάσουν τα θύματα να τρέξουν ένα βοηθητικό πρόγραμμα αποκρυπτογράφησης που είναι στην πραγματικότητα κακόβουλο λογισμικό.
Χθες, η εταιρεία δημοσίευσε μια ανάρτηση ιστολογίου που τεκμηριώνει μια νέα τακτική phishing από την Coldriver, μια ομάδα hacking που οι ΗΠΑ και το Ηνωμένο Βασίλειο υποπτεύονται ότι εργάζεται για τη ρωσική κυβέρνηση. Πριν από ένα χρόνο, αναφέρθηκε ότι ο Coldriver είχε βάλει στο στόχαστρο τρία εργαστήρια πυρηνικής έρευνας των ΗΠΑ. Όπως και άλλοι χάκερ, ο Coldriver προσπαθεί να καταλάβει τον υπολογιστή ενός θύματος στέλνοντας μηνύματα phishing που καταλήγουν να παραδίδουν κακόβουλο λογισμικό.
«Η Coldriver χρησιμοποιεί συχνά ψεύτικους λογαριασμούς, προσποιούμενος ότι είναι ειδικός σε έναν συγκεκριμένο τομέα ή σχετίζεται με κάποιο τρόπο με το θύμα», πρόσθεσε η εταιρεία. "Ο ψεύτικος λογαριασμός χρησιμοποιείται στη συνέχεια για να επικοινωνήσει με το θύμα, γεγονός που αυξάνει την πιθανότητα επιτυχίας της καμπάνιας ηλεκτρονικού "ψαρέματος" και τελικά στέλνει έναν σύνδεσμο ή ένα έγγραφο που περιέχει το σύνδεσμο." Για να κάνει το θύμα να εγκαταστήσει το κακόβουλο λογισμικό, η Coldriver στέλνει ένα γραπτό άρθρο σε μορφή PDF ζητώντας σχόλια. Αν και το αρχείο PDF μπορεί να ανοίξει με ασφάλεια, το κείμενο μέσα θα κρυπτογραφηθεί.
"Εάν το θύμα απαντήσει ότι δεν μπορεί να διαβάσει το κρυπτογραφημένο έγγραφο, ο λογαριασμός Coldriver απαντά με έναν σύνδεσμο, συνήθως σε αποθήκευση cloud, σε ένα βοηθητικό πρόγραμμα "αποκρυπτογράφησης" που μπορεί να χρησιμοποιήσει το θύμα", ανέφερε η Google σε δήλωση. "Αυτό το βοηθητικό πρόγραμμα αποκρυπτογράφησης, το οποίο εμφανίζει επίσης ένα ψεύτικο έγγραφο, είναι στην πραγματικότητα μια κερκόπορτα."
Με το όνομα Spica, το backdoor είναι το πρώτο προσαρμοσμένο κακόβουλο λογισμικό που αναπτύχθηκε από την Coldriver, σύμφωνα με την Google. Μόλις εγκατασταθεί, το κακόβουλο λογισμικό μπορεί να εκτελέσει εντολές, να κλέψει cookies από το πρόγραμμα περιήγησης του χρήστη, να ανεβάσει και να κατεβάσει αρχεία και να κλέψει έγγραφα από τον υπολογιστή.
Η Google δηλώνει ότι «παρατήρησε τη χρήση του Spica ήδη από τον Σεπτέμβριο του 2023, αλλά πιστεύει ότι η Coldriver χρησιμοποιεί το backdoor τουλάχιστον από τον Νοέμβριο του 2022». Εντοπίστηκαν συνολικά τέσσερα κρυπτογραφημένα δόλώματα PDF, αλλά η Google κατάφερε να εξαγάγει μόνο ένα δείγμα Spica, το οποίο ήρθε ως εργαλείο που ονομάζεται «Proton-decrypter.exe».
Η εταιρεία προσθέτει ότι στόχος της Coldriver ήταν να κλέψει τα διαπιστευτήρια χρηστών και ομάδων που σχετίζονται με την Ουκρανία, το ΝΑΤΟ, τα ακαδημαϊκά ιδρύματα και τις μη κυβερνητικές οργανώσεις. Για την προστασία των χρηστών, η εταιρεία έχει ενημερώσει το λογισμικό της Google για να αποκλείει τις λήψεις από τομείς που συνδέονται με την καμπάνια phishing του Coldriver.
Η Google δημοσίευσε την έκθεση έναν μήνα αφότου οι αμερικανικές υπηρεσίες στον κυβερνοχώρο προειδοποίησαν ότι το Coldriver, γνωστό και ως Star Blizzard, "συνεχίζει να χρησιμοποιεί επιτυχώς επιθέσεις ψαρέματος με δόρυ" για να χτυπήσει στόχους στο Ηνωμένο Βασίλειο.
«Από το 2019, η Star Blizzard έχει στοχεύσει τομείς όπως ο ακαδημαϊκός κόσμος, η άμυνα, οι κυβερνητικοί οργανισμοί, οι μη κυβερνητικές οργανώσεις, τα think tanks και οι υπεύθυνοι χάραξης πολιτικής», ανέφερε η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ. «Κατά τη διάρκεια του 2022, η δραστηριότητα της Star Blizzard φαίνεται να έχει επεκταθεί ακόμη περισσότερο για να περιλαμβάνει αμυντικές και βιομηχανικές εγκαταστάσεις, καθώς και εγκαταστάσεις του Υπουργείου Ενέργειας των ΗΠΑ».
Διαβάστε επίσης: