![Pinterest](https://pinterest.com/pin/create/button/?url=https://fr.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://fr.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
Google affirme qu'un groupe de pirates informatiques russes envoient des fichiers PDF cryptés pour inciter les victimes à exécuter un utilitaire de décryptage qui est en réalité un malware.
Hier, la société a publié un article de blog documentant une nouvelle tactique de phishing de Coldriver, un groupe de piratage informatique soupçonné par les États-Unis et le Royaume-Uni de travailler pour le gouvernement russe. Il y a un an, il a été rapporté que Coldriver avait ciblé trois laboratoires de recherche nucléaire américains. Comme d'autres pirates informatiques, Coldriver tente de prendre le contrôle de l'ordinateur d'une victime en envoyant des messages de phishing qui finissent par transmettre des logiciels malveillants.
"Coldriver utilise souvent de faux comptes, prétendant être un expert dans un certain domaine ou être lié d'une manière ou d'une autre à la victime", a ajouté la société. "Le faux compte est ensuite utilisé pour contacter la victime, ce qui augmente les chances de succès de la campagne de phishing, et envoie finalement un lien de phishing ou un document contenant le lien." Pour inciter la victime à installer le malware, Coldriver envoie un article écrit au format PDF demandant des commentaires. Bien que le fichier PDF puisse être ouvert en toute sécurité, le texte qu'il contient sera crypté.
"Si la victime répond qu'elle ne peut pas lire le document crypté, le compte Coldriver répond avec un lien, généralement sur le stockage cloud, vers un utilitaire de 'décryptage' que la victime peut utiliser", a indiqué Google dans un communiqué. "Cet utilitaire de décryptage, qui affiche également un faux document, est en réalité une porte dérobée."
Surnommée Spica, la porte dérobée est le premier malware personnalisé développé par Coldriver, selon Google. Une fois installé, le malware peut exécuter des commandes, voler des cookies du navigateur de l'utilisateur, charger et télécharger des fichiers et voler des documents sur l'ordinateur.
Google déclare avoir « observé l'utilisation de Spica dès septembre 2023, mais estime que Coldriver utilise la porte dérobée depuis au moins novembre 2022 ». Au total, quatre leurres PDF cryptés ont été détectés, mais Google n'a réussi à extraire qu'un seul échantillon Spica, présenté sous la forme d'un outil appelé « Proton-decrypter.exe ».
La société ajoute que l'objectif de Coldriver était de voler les informations d'identification des utilisateurs et des groupes associés à l'Ukraine, à l'OTAN, aux institutions universitaires et aux organisations non gouvernementales. Pour protéger les utilisateurs, la société a mis à jour le logiciel Google pour bloquer les téléchargements à partir de domaines liés à la campagne de phishing Coldriver.
Google a publié le rapport un mois après que les cyberservices américains ont averti que Coldriver, également connu sous le nom de Star Blizzard, « continue d'utiliser avec succès des attaques de spear phishing » pour atteindre des cibles au Royaume-Uni.
"À partir de 2019, Star Blizzard a ciblé des secteurs tels que le monde universitaire, la défense, les organisations gouvernementales, les organisations non gouvernementales, les groupes de réflexion et les décideurs politiques", a déclaré l'Agence américaine de cybersécurité et de sécurité des infrastructures. "Au cours de l'année 2022, l'activité de Star Blizzard semble s'être encore étendue pour inclure les installations de défense et industrielles, ainsi que les installations du ministère américain de l'Énergie."
Lisez aussi: