![Pinterest](https://pinterest.com/pin/create/button/?url=https://sl.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://sl.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
Google pravi, da skupina ruskih državnih hekerjev pošilja šifrirane datoteke PDF, da bi žrtve pretentali v zagon pripomočka za dešifriranje, ki je pravzaprav zlonamerna programska oprema.
Včeraj je podjetje objavilo objavo na spletnem dnevniku, ki dokumentira novo taktiko lažnega predstavljanja s strani Coldriverja, hekerske skupine, za katero ZDA in Združeno kraljestvo sumijo, da dela za rusko vlado. Pred letom dni so poročali, da je Coldriver napadel tri ameriške jedrske raziskovalne laboratorije. Tako kot drugi hekerji poskuša Coldriver prevzeti računalnik žrtve s pošiljanjem lažnih sporočil, ki na koncu dostavijo zlonamerno programsko opremo.
"Coldriver pogosto uporablja lažne račune, pri čemer se pretvarja, da je strokovnjak na določenem področju ali je nekako povezan z žrtvijo," so dodali v podjetju. "Navidezni račun se nato uporabi za vzpostavitev stika z žrtvijo, kar poveča verjetnost, da bo lažno predstavljanje uspešno, in na koncu pošlje povezavo do lažnega predstavljanja ali dokument, ki vsebuje povezavo." Da bi žrtev prepričal, da namesti zlonamerno programsko opremo, Coldriver pošlje pisni članek v formatu PDF in zahteva povratne informacije. Čeprav je datoteko PDF mogoče varno odpreti, bo besedilo v njej šifrirano.
"Če žrtev odgovori, da ne more prebrati šifriranega dokumenta, se račun Coldriver odzove s povezavo, običajno v shrambi v oblaku, na pripomoček za" dešifriranje ", ki ga lahko uporabi žrtev," je dejal Google v izjavi. "Ta pripomoček za dešifriranje, ki prikaže tudi ponarejen dokument, je pravzaprav stranska vrata."
Backdoor, imenovan Spica, je po Googlu prva zlonamerna programska oprema po meri, ki jo je razvil Coldriver. Ko je zlonamerna programska oprema nameščena, lahko izvaja ukaze, krade piškotke iz uporabnikovega brskalnika, nalaga in prenaša datoteke ter krade dokumente iz računalnika.
Google navaja, da je "uporabo Spica opazil že septembra 2023, vendar meni, da Coldriver zadnja vrata uporablja vsaj od novembra 2022." Skupaj so bile zaznane štiri šifrirane vabe PDF, vendar je Googlu uspelo izluščiti le en vzorec Spica, ki je prišel kot orodje z imenom »Proton-decrypter.exe«.
Podjetje dodaja, da je bil cilj Coldriverja ukrasti poverilnice uporabnikov in skupin, povezanih z Ukrajino, Natom, akademskimi institucijami in nevladnimi organizacijami. Da bi zaščitili uporabnike, je podjetje posodobilo Googlovo programsko opremo, da blokira prenose z domen, povezanih s kampanjo lažnega predstavljanja Coldriverja.
Google je poročilo objavil mesec dni po tem, ko so ameriške kibernetske storitve opozorile, da Coldriver, znan tudi kot Star Blizzard, "še naprej uspešno uporablja napade lažnega predstavljanja" za napad na cilje v Združenem kraljestvu.
"Od leta 2019 je Star Blizzard ciljno usmerjen na sektorje, kot so akademski svet, obramba, vladne organizacije, nevladne organizacije, možganski trusti in oblikovalci politik," je sporočila ameriška Agencija za kibernetsko varnost in varnost infrastrukture. "V letu 2022 se zdi, da se je dejavnost Star Blizzarda še bolj razširila in vključuje obrambne in industrijske objekte ter objekte Ministrstva za energijo ZDA."
Preberite tudi: