![Pinterest](https://pinterest.com/pin/create/button/?url=https://hr.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://hr.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
Google kaže da skupina ruskih državnih hakera šalje šifrirane PDF datoteke kako bi prevarili žrtve da pokrenu uslužni program za dešifriranje koji je zapravo zlonamjerni softver.
Jučer je tvrtka objavila post na blogu koji dokumentira novu taktiku krađe identiteta Coldrivera, hakerske skupine za koju SAD i UK sumnjaju da radi za rusku vladu. Prije godinu dana objavljeno je da je Coldriver ciljao na tri američka nuklearna istraživačka laboratorija. Kao i drugi hakeri, Coldriver pokušava preuzeti žrtvino računalo slanjem phishing poruka koje na kraju isporučuju zlonamjerni softver.
"Coldriver često koristi lažne račune, pretvarajući se da je stručnjak u određenom području ili je na neki način povezan sa žrtvom", dodala je tvrtka. "Lažni račun se zatim koristi za kontaktiranje žrtve, što povećava vjerojatnost da će phishing kampanja biti uspješna, i na kraju šalje vezu za phishing ili dokument koji sadrži vezu." Kako bi natjerao žrtvu da instalira zlonamjerni softver, Coldriver šalje pisani članak u PDF formatu tražeći povratne informacije. Iako se PDF datoteka može sigurno otvoriti, tekst unutar nje bit će šifriran.
"Ako žrtva odgovori da ne može pročitati šifrirani dokument, Coldriver račun odgovara vezom, obično u pohrani u oblaku, na uslužni program za 'dešifriranje' koji žrtva može koristiti", rekao je Google u izjavi. "Ovaj uslužni program za dešifriranje, koji također prikazuje lažni dokument, zapravo je backdoor."
Nazvan Spica, backdoor je prvi prilagođeni malware koji je razvio Coldriver, prema Googleu. Nakon što se instalira, zlonamjerni softver može izvršavati naredbe, ukrasti kolačiće iz korisničkog preglednika, uploadati i preuzimati datoteke te ukrasti dokumente s računala.
Google navodi da je "uočio upotrebu Spice još u rujnu 2023., ali vjeruje da Coldriver koristi backdoor od najmanje studenog 2022.". Otkrivena su ukupno četiri šifrirana PDF mamaca, no Google je uspio izdvojiti samo jedan Spica uzorak, koji je došao kao alat nazvan "Proton-decrypter.exe".
Iz tvrtke dodaju da je cilj Coldrivera bio ukrasti vjerodajnice korisnika i grupa povezanih s Ukrajinom, NATO-om, akademskim institucijama i nevladinim organizacijama. Kako bi zaštitila korisnike, tvrtka je ažurirala Googleov softver za blokiranje preuzimanja s domena povezanih s Coldriver phishing kampanjom.
Google je objavio izvješće mjesec dana nakon što su američke cyber službe upozorile da Coldriver, poznat i kao Star Blizzard, "i dalje uspješno koristi spear phishing napade" kako bi pogodio ciljeve u Velikoj Britaniji.
"Od 2019. Star Blizzard je ciljao na sektore kao što su akademska zajednica, obrana, vladine organizacije, nevladine organizacije, think tankovi i kreatori politike", rekla je američka Agencija za kibernetičku sigurnost i sigurnost infrastrukture. "Čini se da se tijekom 2022. aktivnost Star Blizzarda još više proširila i uključila obrambene i industrijske objekte, kao i objekte Ministarstva energetike SAD-a."
Pročitajte također: