![Pinterest](https://pinterest.com/pin/create/button/?url=https://nl.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://nl.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
Google zegt dat een groep Russische staatshackers gecodeerde pdf-bestanden verzendt om slachtoffers te misleiden zodat ze een decoderingshulpprogramma gebruiken dat eigenlijk malware is.
Gisteren publiceerde het bedrijf een blogpost waarin een nieuwe phishing-tactiek werd gedocumenteerd van Coldriver, een hackgroep waarvan de VS en Groot-Brittannië vermoeden dat ze voor de Russische overheid werken. Een jaar geleden werd gemeld dat Coldriver drie Amerikaanse nucleaire onderzoekslaboratoria had aangevallen. Net als andere hackers probeert Coldriver de computer van een slachtoffer over te nemen door phishing-berichten te verzenden die uiteindelijk malware afleveren.
"Coldriver maakt vaak gebruik van nepaccounts, waarbij hij zich voordoet als een expert op een bepaald gebied of op een of andere manier gerelateerd is aan het slachtoffer", voegde het bedrijf eraan toe. “Het nepaccount wordt vervolgens gebruikt om contact op te nemen met het slachtoffer, waardoor de kans groter wordt dat de phishing-campagne succesvol is, en uiteindelijk een phishing-link of document wordt verzonden met de link.” Om het slachtoffer ertoe te brengen de malware te installeren, stuurt Coldriver een geschreven artikel in pdf-formaat waarin om feedback wordt gevraagd. Hoewel het PDF-bestand veilig kan worden geopend, wordt de tekst erin gecodeerd.
"Als het slachtoffer antwoordt dat hij het versleutelde document niet kan lezen, reageert het Coldriver-account met een link, meestal op cloudopslag, naar een 'decryptie'-hulpprogramma dat het slachtoffer kan gebruiken", aldus Google in een verklaring. "Dit decoderingshulpprogramma, dat ook een vals document weergeeft, is eigenlijk een achterdeur."
De achterdeur, genaamd Spica, is volgens Google de eerste aangepaste malware die door Coldriver is ontwikkeld. Eenmaal geïnstalleerd, kan de malware opdrachten uitvoeren, cookies uit de browser van de gebruiker stelen, bestanden uploaden en downloaden en documenten van de computer stelen.
Google stelt dat het "het gebruik van Spica al in september 2023 heeft waargenomen, maar gelooft dat Coldriver de achterdeur in ieder geval sinds november 2022 gebruikt." Er werden in totaal vier gecodeerde PDF-lokvogels gedetecteerd, maar Google slaagde erin slechts één Spica-voorbeeld te extraheren, dat werd geleverd als een tool genaamd “Proton-decrypter.exe”.
Het bedrijf voegt eraan toe dat het doel van Coldriver was om de inloggegevens te stelen van gebruikers en groepen die banden hebben met Oekraïne, de NAVO, academische instellingen en niet-gouvernementele organisaties. Om gebruikers te beschermen heeft het bedrijf Google-software bijgewerkt om downloads te blokkeren van domeinen die zijn gekoppeld aan de Coldriver-phishing-campagne.
Google publiceerde het rapport een maand nadat Amerikaanse cyberdiensten waarschuwden dat Coldriver, ook bekend als Star Blizzard, "met succes spear phishing-aanvallen blijft gebruiken" om doelen in Groot-Brittannië te raken.
“Sinds 2019 richt Star Blizzard zich op sectoren als de academische wereld, defensie, overheidsorganisaties, niet-gouvernementele organisaties, denktanks en beleidsmakers”, aldus de Amerikaanse Cybersecurity and Infrastructure Security Agency. “In 2022 lijkt de activiteit van Star Blizzard nog verder te zijn uitgebreid naar defensie- en industriële faciliteiten, evenals faciliteiten van het Amerikaanse ministerie van Energie.”
Lees ook: