Ruští hackeři zaútočí na Ukrajinu a NATO v novém schématu: Co nelze v žádném případě udělat
Odborníci na kybernetickou bezpečnost ze společnosti Google na oficiálním blogu společnosti napsali, že skupina ruských hackerů Coldriver, sponzorovaná Kremlem, vyvinula novou taktiku phishingu (phishing-způsob podvodu na internetu, jejímž cílem je získat přístup k důvěrným informacím lidí , například přihlášení a heslo - ed. ). Odborníci tvrdí, že se jedná o stejnou skupinu, která v roce 2023 zaútočila na 3 jaderné výzkumné laboratoře.
„Coldriver často používá účty pro odborníka v určitém odvětví, například v oblasti kybernetické bezpečnosti. Poté se prostřednictvím tohoto účtu spojují s oběťmi a ujišťují, že jejich počítače jsou v nebezpečí, ale mohou pomoci. V důsledku toho. Útočníci posílají dokument do pokynů pro instalaci antiviru obsahujícího škodlivé odkaz, “ - píšou odborníci.
Aby lidé přiměli lidi, aby lidé nainstalovali škodlivý software, ColdRiver posílá články ve formátu PDF s žádostí o odpověď. Text v tomto souboru PDF je šifrován zvláštním způsobem. Pokud se uživatel dostane k rybářskému prutu, řekne zdánlivě specialistovi, že nemůže text číst.
Navrhuje odeslat odkaz na Decryption Utility, ale ve skutečnosti je „dešifrovací nástroj“ zpětným bodem (zadní část - vada, která je úmyslně zabudována do počítačového kódu, který umožňuje neoprávněný přístup k datům nebo správě vzdáleného počítače - ed. ). Google se jmenoval Spica.
Po instalaci škodlivého softwaru můžete provést příkazy vzdáleně, ukrást soubory cookie z prohlížeče uživatele, stahovat a vykládat soubory a odstranit dokumenty z počítače. Google uvádí, že Spica byla poprvé použita v září 2023. Celkově byly detekovány 4 šifrované PDF, ale Google se podařilo získat pouze jeden vzorek SPICA, který se objevil jako nástroj nazvaný „proton-decrypter. exe“.
S tímto škůdci chtěli hackeři Colddriveru ukrást uživatele a skupiny související s Ukrajinou, NATO, vědeckými institucemi a ne -vládnoucími organizacemi. Za účelem ochrany uživatelů společnost aktualizovala software Google, aby zablokoval stahování domén souvisejících s kampaní Coldriver Phishing.
Google zveřejnil zprávu jeden měsíc poté, co americké úřady varovaly, že skupina ColdRiver, známá také jako Star Blizzard, „nadále používá phishingové útoky“ k porážce cílů ve Velké Británii. „Od roku 2019 se Star Blizzard zaměřuje na sektory, jako jsou akademické kruhy, vládní organizace, ne -vláknité organizace, analytické centra a politici,“ uvedla americká kybernetická a bezpečnostní agentura.