![Pinterest](https://pinterest.com/pin/create/button/?url=https://it.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://it.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
Google afferma che un gruppo di hacker statali russi sta inviando file PDF crittografati per indurre le vittime a eseguire un'utilità di decrittazione che in realtà è un malware.
Ieri, la società ha pubblicato un post sul blog che documenta una nuova tattica di phishing da parte di Colddriver, un gruppo di hacker che gli Stati Uniti e il Regno Unito sospettano di lavorare per il governo russo. Un anno fa venne riferito che la Colddriver aveva preso di mira tre laboratori di ricerca nucleare statunitensi. Come altri hacker, Colddriver tenta di impossessarsi del computer della vittima inviando messaggi di phishing che finiscono per diffondere malware.
"Coldriver utilizza spesso account falsi, fingendo di essere un esperto in un determinato campo o di essere in qualche modo imparentato con la vittima", ha aggiunto la società. "L'account falso viene quindi utilizzato per contattare la vittima, il che aumenta la probabilità che la campagna di phishing abbia successo e, infine, invia un collegamento di phishing o un documento contenente il collegamento." Per convincere la vittima a installare il malware, Colddriver invia un articolo scritto in formato PDF chiedendo feedback. Sebbene il file PDF possa essere aperto in sicurezza, il testo al suo interno verrà crittografato.
"Se la vittima risponde di non poter leggere il documento crittografato, l'account Colddriver risponde con un collegamento, solitamente sul cloud storage, a un'utilità di 'decrittazione' che la vittima può utilizzare", ha affermato Google in una nota. "Questa utility di decrittazione, che mostra anche un documento falso, è in realtà una backdoor."
Soprannominata Spica, la backdoor è il primo malware personalizzato sviluppato da Colddriver, secondo Google. Una volta installato, il malware può eseguire comandi, rubare cookie dal browser dell'utente, caricare e scaricare file e rubare documenti dal computer.
Google afferma di "aver osservato l'uso di Spica già nel settembre 2023, ma ritiene che Colddriver utilizzi la backdoor almeno dal novembre 2022". Sono stati rilevati un totale di quattro esche PDF crittografati, ma Google è riuscita a estrarre solo un campione di Spica, fornito come strumento chiamato "Proton-decrypter.exe".
L'azienda aggiunge che l'obiettivo di Colddriver era quello di rubare le credenziali di utenti e gruppi associati all'Ucraina, alla NATO, alle istituzioni accademiche e alle organizzazioni non governative. Per proteggere gli utenti, l'azienda ha aggiornato il software di Google per bloccare i download dai domini collegati alla campagna di phishing Coldriver.
Google ha pubblicato il rapporto un mese dopo che i servizi informatici statunitensi avevano avvertito che Coldriver, noto anche come Star Blizzard, "continua a utilizzare con successo attacchi di spear phishing" per colpire obiettivi nel Regno Unito.
"A partire dal 2019, Star Blizzard ha preso di mira settori come il mondo accademico, la difesa, le organizzazioni governative, le organizzazioni non governative, i think tank e i politici", ha affermato la Cybersecurity and Infrastructure Security Agency degli Stati Uniti. "Durante il 2022, l'attività di Star Blizzard sembra essersi ampliata ulteriormente per includere strutture industriali e di difesa, nonché strutture del Dipartimento dell'Energia degli Stati Uniti."
Leggi anche: