![Pinterest](https://pinterest.com/pin/create/button/?url=https://sq.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://sq.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
Google thotë se një grup hakerësh shtetërorë rusë po dërgojnë skedarë PDF të enkriptuar për të mashtruar viktimat që të përdorin një program deshifrimi që në të vërtetë është malware.
Dje, kompania publikoi një postim në blog që dokumenton një taktikë të re phishing nga Coldriver, një grup hakerimi që SHBA dhe Britania e Madhe dyshojnë se punon për qeverinë ruse. Një vit më parë, u raportua se Coldriver kishte shënjestruar tre laboratorë të kërkimit bërthamor amerikan. Ashtu si hakerat e tjerë, Coldriver përpiqet të marrë kontrollin e kompjuterit të viktimës duke dërguar mesazhe phishing që përfundojnë duke ofruar malware.
“Coldriver shpesh përdor llogari të rreme, duke pretenduar se është ekspert në një fushë të caktuar ose disi i lidhur me viktimën”, shtoi kompania. "Llogaria dummy përdoret më pas për të kontaktuar viktimën, gjë që rrit gjasat që fushata e phishing të jetë e suksesshme dhe në fund dërgon një lidhje phishing ose dokument që përmban lidhjen." Për ta detyruar viktimën të instalojë malware, Coldriver dërgon një artikull të shkruar në formatin PDF duke kërkuar komente. Megjithëse skedari PDF mund të hapet në mënyrë të sigurt, teksti brenda do të kodohet.
“Nëse viktima përgjigjet se nuk mund ta lexojë dokumentin e koduar, llogaria e Coldriver i përgjigjet me një lidhje, zakonisht në ruajtjen e resë kompjuterike, një mjeti “deshifrimi” që viktima mund të përdorë”, tha Google në një deklaratë. "Ky mjet deshifrimi, i cili gjithashtu shfaq një dokument të rremë, është në fakt një derë e pasme."
I quajtur Spica, backdoor është malware i parë me porosi i zhvilluar nga Coldriver, sipas Google. Pasi të instalohet, malware mund të ekzekutojë komanda, të vjedhë cookie nga shfletuesi i përdoruesit, të ngarkojë dhe shkarkojë skedarë dhe të vjedhë dokumente nga kompjuteri.
Google deklaron se "ka vëzhguar përdorimin e Spica që nga shtatori 2023, por beson se Coldriver ka përdorur derën e pasme që nga nëntori i vitit 2022." U zbuluan gjithsej katër mashtrime të koduara PDF, por Google arriti të nxjerrë vetëm një kampion Spica, i cili erdhi si një mjet i quajtur "Proton-decrypter.exe".
Kompania shton se qëllimi i Coldriver ishte të vidhte kredencialet e përdoruesve dhe grupeve të lidhura me Ukrainën, NATO-n, institucionet akademike dhe organizatat joqeveritare. Për të mbrojtur përdoruesit, kompania ka përditësuar softuerin e Google për të bllokuar shkarkimet nga domenet e lidhura me fushatën e phishing Coldriver.
Google publikoi raportin një muaj pasi shërbimet kibernetike amerikane paralajmëruan se Coldriver, i njohur gjithashtu si Star Blizzard, "vazhdon të përdorë me sukses sulmet spear phishing" për të goditur objektivat në MB.
"Që nga viti 2019, Star Blizzard ka synuar sektorë të tillë si akademia, mbrojtja, organizatat qeveritare, organizatat joqeveritare, grupet e mendimit dhe politikëbërësit," tha Agjencia e Sigurisë Kibernetike dhe Sigurisë së Infrastrukturës së SHBA. “Gjatë vitit 2022, aktiviteti i Star Blizzard duket se është zgjeruar edhe më tej duke përfshirë objektet e mbrojtjes dhe industriale, si dhe objektet e Departamentit të Energjisë të SHBA-së”.
Lexoni gjithashtu: