Google утверждает, что группа российских хакеров, была замечена в рассылке зашифрованных PDF-файлов, чтобы обманом заставить жертв запустить инструмент для дешифровки, который на самом деле является вредоносным ПО.
В четверг компания опубликовала в своем блоге сообщение о новой тактике фишинга от Coldriver, хакерской группы, которая, по мнению США и Великобритании, работает на российское правительство. Год назад появились новости о том, что Coldriver атаковала три американские лаборатории ядерных исследований.
Как и другие хакеры, Coldriver пытается захватить компьютер жертвы, рассылая фишинговые сообщения, которые заканчиваются доставкой вредоносного ПО.
"Coldriver часто использует учетные записи, выдавая себя за эксперта в той или иной области или каким-то образом связанного с целью", - добавили в компании. "Учетная запись, выдающая себя за эксперта, используется для установления контакта с целью, что повышает вероятность успеха фишинговой кампании, и в конечном итоге отправляет фишинговую ссылку или документ, содержащий ссылку".
Чтобы обмануть цель и заставить ее установить вредоносное ПО, Coldriver в конечном итоге отправляет написанную статью в формате PDF с просьбой оставить отзыв. Хотя PDF-файл можно открыть, содержащийся в нем текст будет выглядеть зашифрованным.
Если пользователь отвечает, что не может прочитать зашифрованный документ, аккаунт, выдающий себя за Coldriver, отправляет ему ссылку, обычно размещенную на сайте облачного хранилища, на утилиту "дешифровки", которую он может использовать", - говорится в сообщении Google. "Эта утилита для расшифровки, хотя и отображает документ-обманку, на самом деле является бэкдором".
Бэкдор, получивший название Spica, похоже, является первым пользовательским вредоносным ПО, разработанным Coldriver, сообщает Google. После установки вредоносная программа может выполнять команды, красть файлы cookie из браузера пользователя, загружать и выгружать файлы, а также удалять документы с компьютера.
Google утверждает, что "наблюдала использование Spica еще в сентябре 2023 года, но считает, что Coldriver использует бэкдор по крайней мере с ноября 2022 года". Всего было обнаружено четыре зашифрованных PDF-файла, но Google удалось получить только один образец Spica, который прибыл в виде инструмента под названием "Proton-decrypter.exe".
Компания добавляет, что целью Coldriver была кража учетных данных пользователей и групп, связанных с Украиной, НАТО, академическими учреждениями и неправительственными организациями. Чтобы защитить пользователей, компания обновила программное обеспечение Google, чтобы заблокировать загружаемые домены, связанные с фишинговой кампанией Coldriver.
Google опубликовал отчет через месяц после того, как киберслужбы США предупредили, что Coldriver, также известная как Star Blizzard, "продолжает успешно использовать фишинговые атаки" для поражения целей в Великобритании.
"С 2019 года Star Blizzard атаковала такие отрасли, как наука, оборона, правительственные организации, НПО, аналитические центры и политиков", - говорится в сообщении Агентства кибербезопасности и защиты инфраструктуры США. "В 2022 году активность Star Blizzard, судя по всему, еще более расширилась и стала охватывать оборонно-промышленные объекты, а также объекты Министерства энергетики США".