![Pinterest](https://pinterest.com/pin/create/button/?url=https://sv.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://sv.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
Google säger att en grupp ryska statliga hackare skickar krypterade PDF-filer för att lura offren att köra ett dekrypteringsverktyg som faktiskt är skadlig programvara.
I går publicerade företaget ett blogginlägg som dokumenterar en ny nätfisketaktik av Coldriver, en hackergrupp som USA och Storbritannien misstänker arbeta för den ryska regeringen. För ett år sedan rapporterades det att Coldriver hade riktat in sig på tre amerikanska kärntekniska forskningslaboratorier. Liksom andra hackare försöker Coldriver ta över ett offers dator genom att skicka nätfiskemeddelanden som i slutändan levererar skadlig programvara.
"Coldriver använder ofta falska konton, låtsas vara en expert inom ett visst område eller på något sätt relaterad till offret", tillade företaget. "Dummy-kontot används sedan för att kontakta offret, vilket ökar sannolikheten för att nätfiskekampanjen lyckas, och skickar i slutändan en nätfiske-länk eller ett dokument som innehåller länken." För att få offret att installera skadlig programvara skickar Coldriver en skriven artikel i PDF-format och ber om feedback. Även om PDF-filen kan öppnas säkert, kommer texten inuti att krypteras.
"Om offret svarar att de inte kan läsa det krypterade dokumentet, svarar Coldriver-kontot med en länk, vanligtvis på molnlagring, till ett "dekrypteringsverktyg" som offret kan använda", säger Google i ett uttalande. "Detta dekrypteringsverktyg, som också visar ett falskt dokument, är faktiskt en bakdörr."
Döpt till Spica, bakdörren är den första anpassade skadliga programvaran utvecklad av Coldriver, enligt Google. När den väl har installerats kan den skadliga programvaran köra kommandon, stjäla cookies från användarens webbläsare, ladda upp och ladda ner filer och stjäla dokument från datorn.
Google uppger att de "observerade användningen av Spica så långt tillbaka som i september 2023, men tror att Coldriver har använt bakdörren sedan åtminstone november 2022." Totalt fyra krypterade PDF-lockslag upptäcktes, men Google lyckades extrahera endast ett Spica-prov, som kom som ett verktyg som heter "Proton-decrypter.exe".
Företaget tillägger att Coldrivers mål var att stjäla referenser från användare och grupper associerade med Ukraina, NATO, akademiska institutioner och icke-statliga organisationer. För att skydda användarna har företaget uppdaterat Googles mjukvara för att blockera nedladdningar från domäner kopplade till Coldriver-nätfiskekampanjen.
Google publicerade rapporten en månad efter att amerikanska cybertjänster varnade för att Coldriver, även känd som Star Blizzard, "fortsätter att framgångsrikt använda spjutfiskeattacker" för att träffa mål i Storbritannien.
"Sedan 2019 har Star Blizzard riktat in sig på sektorer som akademi, försvar, statliga organisationer, icke-statliga organisationer, tankesmedjor och beslutsfattare", sa den amerikanska byrån för cybersäkerhet och infrastruktursäkerhet. "Under 2022 verkar Star Blizzards verksamhet ha utökats ytterligare till att omfatta försvars- och industrianläggningar, såväl som US Department of Energy-anläggningar."
Läs också: