![Пинтерест](https://pinterest.com/pin/create/button/?url=https://sr.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://sr.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
Гугл каже да група руских државних хакера шаље шифроване ПДФ датотеке како би преварила жртве да покрену услужни програм за дешифровање који је заправо малвер.
Компанија је јуче објавила пост на блогу који документује нову тактику пхисхинга од стране Цолдривера, хакерске групе за коју САД и Велика Британија сумњају да ради за руску владу. Пре годину дана објављено је да је Цолдривер гађао три америчке лабораторије за нуклеарна истраживања. Као и други хакери, Цолдривер покушава да преузме рачунар жртве слањем пхисхинг порука које на крају испоручују малвер.
„Цолдривер често користи лажне налоге, претварајући се да је стручњак у одређеној области или на неки начин повезан са жртвом“, додала је компанија. „Лажни налог се затим користи за контактирање жртве, што повећава вероватноћу да ће кампања за пхисхинг бити успешна, и на крају шаље пхисхинг линк или документ који садржи везу.“ Да би натерао жртву да инсталира малвер, Цолдривер шаље писани чланак у ПДФ формату тражећи повратне информације. Иако се ПДФ датотека може безбедно отворити, текст унутра ће бити шифрован.
„Ако жртва одговори да не може да прочита шифровани документ, Цолдривер налог одговара везом, обично у складишту у облаку, до услужног програма за ’дешифровање’ који жртва може да користи“, наводи Гугл у саопштењу. „Овај услужни програм за дешифровање, који такође приказује лажни документ, је заправо бацкдоор.
Под називом Спица, бацкдоор је први прилагођени малвер који је развио Цолдривер, према Гоогле-у. Једном инсталиран, малвер може да извршава команде, краде колачиће из претраживача корисника, отпрема и преузима датотеке и краде документе са рачунара.
Гугл наводи да је „уочио употребу Спица још у септембру 2023. године, али верује да Цолдривер користи бацкдоор најмање од новембра 2022. године“. Укупно су откривена четири шифрована ПДФ варалица, али је Гугл успео да издвоји само један Спица узорак, који је дошао као алатка под називом „Протон-децриптер.еке“.
Компанија додаје да је Цолдриверов циљ био да украде акредитиве корисника и група повезаних са Украјином, НАТО-ом, академским институцијама и невладиним организацијама. Да би заштитила кориснике, компанија је ажурирала Гоогле софтвер како би блокирала преузимања са домена повезаних са кампањом за пхисхинг Цолдривер.
Гугл је објавио извештај месец дана након што су америчке сајбер службе упозориле да Цолдривер, такође познат као Стар Близзард, „наставља да успешно користи пхисхинг нападе“ да би погодио мете у Великој Британији.
„Од 2019. године, Стар Близзард циља на секторе као што су академија, одбрана, владине организације, невладине организације, трустови мозгова и креатори политике“, саопштила је америчка Агенција за сајбер безбедност и инфраструктурну безбедност. „Током 2022. године, чини се да се активност Стар Близзарда још више проширила и укључила одбрамбене и индустријске објекте, као и објекте америчког Министарства енергетике.
Прочитајте такође: