![Pinterest](https://pinterest.com/pin/create/button/?url=https://vi.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://vi.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
Google cho biết một nhóm tin tặc nhà nước Nga đang gửi các tệp PDF được mã hóa để lừa nạn nhân chạy tiện ích giải mã thực chất là phần mềm độc hại.
Hôm qua, công ty đã xuất bản một bài đăng trên blog ghi lại một chiến thuật lừa đảo mới của Coldriver, một nhóm hack mà Mỹ và Anh nghi ngờ làm việc cho chính phủ Nga. Một năm trước, có thông tin cho rằng Colder đã nhắm mục tiêu vào ba phòng thí nghiệm nghiên cứu hạt nhân của Mỹ. Giống như các tin tặc khác, Colder cố gắng chiếm quyền điều khiển máy tính của nạn nhân bằng cách gửi các tin nhắn lừa đảo nhưng cuối cùng lại mang đến phần mềm độc hại.
“Coldriver thường sử dụng tài khoản giả, giả vờ là chuyên gia trong một lĩnh vực nào đó hoặc có liên quan nào đó đến nạn nhân”, công ty cho biết thêm. “Tài khoản giả mạo sau đó được sử dụng để liên hệ với nạn nhân, điều này làm tăng khả năng chiến dịch lừa đảo thành công và cuối cùng gửi một liên kết hoặc tài liệu lừa đảo có chứa liên kết.” Để khiến nạn nhân cài đặt phần mềm độc hại, Colder gửi một bài viết ở định dạng PDF yêu cầu phản hồi. Mặc dù tệp PDF có thể được mở một cách an toàn nhưng văn bản bên trong sẽ được mã hóa.
Google cho biết trong một tuyên bố: “Nếu nạn nhân phản hồi rằng họ không thể đọc được tài liệu được mã hóa, tài khoản Colddriver sẽ phản hồi bằng một liên kết, thường là trên bộ lưu trữ đám mây, tới tiện ích ‘giải mã’ mà nạn nhân có thể sử dụng”. "Tiện ích giải mã này, cũng hiển thị một tài liệu giả, thực chất là một cửa sau."
Theo Google, được đặt tên là Spica, backdoor là phần mềm độc hại tùy chỉnh đầu tiên được phát triển bởi Colder. Sau khi được cài đặt, phần mềm độc hại có thể thực thi các lệnh, đánh cắp cookie từ trình duyệt của người dùng, tải lên và tải xuống tệp cũng như đánh cắp tài liệu từ máy tính.
Google tuyên bố rằng họ "đã quan sát thấy việc sử dụng Spica từ tháng 2023 năm 2022 nhưng tin rằng Coldriver đã sử dụng cửa sau ít nhất là từ tháng năm ." Tổng cộng có bốn mồi nhử PDF được mã hóa đã được phát hiện, nhưng Google chỉ trích xuất được một mẫu Spica, mẫu này xuất hiện dưới dạng một công cụ có tên “Proton-decrypter.exe”.
Công ty cho biết thêm rằng mục tiêu của Colder là đánh cắp thông tin đăng nhập của người dùng và các nhóm liên quan đến Ukraine, NATO, các tổ chức học thuật và các tổ chức phi chính phủ. Để bảo vệ người dùng, công ty đã cập nhật phần mềm Google để chặn tải xuống từ các tên miền được liên kết với chiến dịch lừa đảo Colder.
Google công bố báo cáo một tháng sau khi các dịch vụ mạng của Mỹ cảnh báo rằng Colder, còn được gọi là Star Blizzard, “tiếp tục sử dụng thành công các cuộc tấn công lừa đảo trực tuyến” để tấn công các mục tiêu ở Anh.
Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ cho biết: “Kể từ năm 2019, Star Blizzard đã nhắm mục tiêu vào các lĩnh vực như học viện, quốc phòng, tổ chức chính phủ, tổ chức phi chính phủ, tổ chức nghiên cứu và các nhà hoạch định chính sách”. “Trong năm 2022, hoạt động của Star Blizzard dường như còn mở rộng hơn nữa, bao gồm các cơ sở quốc phòng và công nghiệp, cũng như các cơ sở của Bộ Năng lượng Hoa Kỳ.”
Đọc thêm: