Google заявляє, що група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування, яка насправді є шкідливим програмним забезпеченням.
Вчора компанія опублікувала в блозі повідомлення, в якому задокументувала нову тактику фішингу від Coldriver, хакерської групи, яку США і Великобританія підозрюють у роботі на російський уряд. Рік тому з’явилася інформація, що Coldriver націлилася на три ядерні дослідницькі лабораторії США. Як і інші хакери, Coldriver намагається захопити комп’ютер жертви, розсилаючи фішингові повідомлення, які завершуються доставкою шкідливого програмного забезпечення.
“Coldriver часто використовує підставні акаунти, видаючи себе за експерта в певній галузі або якось пов’язаного з жертвою”, – додали в компанії. “Потім підставний обліковий запис використовується для встановлення контакту з жертвою, що підвищує ймовірність успіху фішингової кампанії, і в кінцевому підсумку надсилає фішингове посилання або документ, що містить посилання”. Щоб змусити жертву встановити шкідливе програмне забезпечення, Coldriver надсилає письмову статтю у форматі PDF з проханням про зворотний зв’язок. Хоча PDF-файл можна безпечно відкрити, текст всередині нього буде зашифрований.
“Якщо жертва відповідає, що не може прочитати зашифрований документ, обліковий запис Coldriver відповідає посиланням, зазвичай розміщеним на хмарному сховищі, на утиліту для “розшифрування”, якою може скористатися жертва”, – йдеться в повідомленні Google. “Ця утиліта для дешифрування, яка також відображає фальшивий документ, насправді є бекдором”.
За словами Google, цей бекдор, який отримав назву Spica, є першим спеціальним шкідливим програмним забезпеченням, розробленим компанією Coldriver. Після встановлення шкідливе програмне забезпечення може виконувати команди, красти файли cookie з браузера користувача, завантажувати і вивантажувати файли, а також викрадати документи з комп’ютера.
Google заявляє, що “спостерігала використання Spica ще у вересні 2023 року, але вважає, що Coldriver використовує бекдор щонайменше з листопада 2022 року”. Загалом було виявлено чотири зашифровані PDF-приманки, але Google вдалося вилучити лише один зразок Spica, який надійшов як інструмент під назвою “Proton-decrypter.exe”.
Компанія додає, що метою Coldriver була крадіжка облікових даних користувачів і груп, пов’язаних з Україною, НАТО, академічними установами та неурядовими організаціями. Щоб захистити користувачів, компанія оновила програмне забезпечення Google, щоб заблокувати завантаження доменів, пов’язаних з фішинговою кампанією Coldriver.
Google опублікувала звіт через місяць після того, як американські кіберслужби попередили, що Coldriver, також відомий як Star Blizzard, “продовжує успішно використовувати фішингові атаки зі списом” для ураження цілей у Великій Британії.
“Починаючи з 2019 року, Star Blizzard націлився на такі сектори, як наукові кола, оборона, урядові організації, неурядові організації, аналітичні центри та політики”, – заявили в Агентстві кібербезпеки та безпеки інфраструктури США. “Протягом 2022 року активність Star Blizzard, схоже, ще більше розширилася, включивши в себе оборонно-промислові об’єкти, а також об’єкти Міністерства енергетики США”.
Читайте також: