Ruští hackeři zaútočí na Ukrajinu a NATO v novém schématu: Co nelze v žádném případě udělat

Odborníci na kybernetickou bezpečnost Google našli škodlivý program a zveřejnili aktualizace, aby jej zablokovali. Ruští hackeři posílají šifrované soubory, aby manipulovaly s oběťmi a přiměly je nainstalovat škodlivý program. K tomuto závěru došli odborníci Google, kteří nahlásili problém na svém oficiálním blogu.

Odborníci na kybernetickou bezpečnost ze společnosti Google na oficiálním blogu společnosti napsali, že skupina ruských hackerů Coldriver, sponzorovaná Kremlem, vyvinula novou taktiku phishingu (phishing-způsob podvodu na internetu, jejímž cílem je získat přístup k důvěrným informacím lidí , například přihlášení a heslo - ed. ). Odborníci tvrdí, že se jedná o stejnou skupinu, která v roce 2023 zaútočila na 3 jaderné výzkumné laboratoře.

„Coldriver často používá účty pro odborníka v určitém odvětví, například v oblasti kybernetické bezpečnosti. Poté se prostřednictvím tohoto účtu spojují s oběťmi a ujišťují, že jejich počítače jsou v nebezpečí, ale mohou pomoci. V důsledku toho. Útočníci posílají dokument do pokynů pro instalaci antiviru obsahujícího škodlivé odkaz, “ - píšou odborníci.

Aby lidé přiměli lidi, aby lidé nainstalovali škodlivý software, ColdRiver posílá články ve formátu PDF s žádostí o odpověď. Text v tomto souboru PDF je šifrován zvláštním způsobem. Pokud se uživatel dostane k rybářskému prutu, řekne zdánlivě specialistovi, že nemůže text číst.

Navrhuje odeslat odkaz na Decryption Utility, ale ve skutečnosti je „dešifrovací nástroj“ zpětným bodem (zadní část - vada, která je úmyslně zabudována do počítačového kódu, který umožňuje neoprávněný přístup k datům nebo správě vzdáleného počítače - ed. ). Google se jmenoval Spica.

Po instalaci škodlivého softwaru můžete provést příkazy vzdáleně, ukrást soubory cookie z prohlížeče uživatele, stahovat a vykládat soubory a odstranit dokumenty z počítače. Google uvádí, že Spica byla poprvé použita v září 2023. Celkově byly detekovány 4 šifrované PDF, ale Google se podařilo získat pouze jeden vzorek SPICA, který se objevil jako nástroj nazvaný „proton-decrypter. exe“.

S tímto škůdci chtěli hackeři Colddriveru ukrást uživatele a skupiny související s Ukrajinou, NATO, vědeckými institucemi a ne -vládnoucími organizacemi. Za účelem ochrany uživatelů společnost aktualizovala software Google, aby zablokoval stahování domén souvisejících s kampaní Coldriver Phishing.

Google zveřejnil zprávu jeden měsíc poté, co americké úřady varovaly, že skupina ColdRiver, známá také jako Star Blizzard, „nadále používá phishingové útoky“ k porážce cílů ve Velké Británii. „Od roku 2019 se Star Blizzard zaměřuje na sektory, jako jsou akademické kruhy, vládní organizace, ne -vláknité organizace, analytické centra a politici,“ uvedla americká kybernetická a bezpečnostní agentura.