Bezpieczeństwa cyberbezpieczeństwa z Google napisali na oficjalnym blogu firmy, że grupa rosyjskich hakerów Coldriver, sponsorowana przez Kreml, opracowała nową taktykę phishing (Phishing-A Way of Oszusta w Internecie, której celem jest dostęp do poufnych informacji ludzi , takie jak login i hasło - wyd. ). Eksperci twierdzą, że jest to ta sama grupa, która zaatakowała 3 laboratoria badań jądrowych w 2023 r.
„Coldriver często używa kont eksperta w określonej branży, na przykład w dziedzinie bezpieczeństwa cybernetycznego. Następnie, za pośrednictwem tego konta, łączą się z ofiarami i zapewniają, że ich komputery są zagrożone, ale mogą pomóc. W rezultacie, w rezultacie, Atakujący wysyłają dokument do instrukcji instalacji antywirusa zawierającego szkodliwe link ”, piszą eksperci.
Aby zmusić ludzi do zmuszenia ludzi do zainstalowania złośliwego oprogramowania, Coldriver wysyła artykuły w formacie PDF z prośbą o odpowiedź. Tekst w tym pliku PDF jest szyfrowany w specjalny sposób. Jeśli użytkownik dostanie się do wędki, mówi pozornie specjalistom, że nie może odczytać tekstu.
Proponuje wysłanie linku do narzędzia do deszyfrowania, ale w rzeczywistości „narzędzie do odszkodowania” jest backdone (wadą - wadą, która jest celowo wbudowana w kod komputerowy, który umożliwia nieautoryzowany dostęp do danych lub zdalne zarządzanie komputerami - wyd. ). Google nazywało się Spica.
Po zainstalowaniu złośliwego oprogramowania możesz zdalnie wykonywać polecenia, kraść pliki cookie z przeglądarki użytkownika, pobierać i rozładować pliki oraz usuwać dokumenty z komputera. Google stwierdza, że Spica została po raz pierwszy użyta we wrześniu 2023 r. W sumie wykryto 4 zaszyfrowane pliki PDF, ale Google udało się uzyskać tylko jedną próbkę Spica, która pojawiła się jako narzędzie o nazwie „Proton-decypter. exe”.
Dzięki temu szkodnikowi hakerzy z Colddriver chcieli ukraść użytkowników i grupy związane z Ukrainą, NATO, instytucjami naukowymi i organizacjami nierządnymi. Aby chronić użytkowników, firma zaktualizowała oprogramowanie Google, aby zablokować pobieranie domen związanych z kampanią phishingową Coldriver.
Google opublikował raport miesiąc po tym, jak władze USA ostrzegły, że grupa Coldriver, znana również jako Star Blizzard, „nadal używa ataków phishingowych” do pokonania celów w Wielkiej Brytanii. „Od 2019 r. Star Blizzard dążył do sektorów takich jak kręgi akademickie, organizacje rządowe, organizacje pozarządowe, centra analityczne i politycy” -powiedziała amerykańska agencja cyberbezpieczeństwa i bezpieczeństwa. -„W 2022 r.
Polski
Українська
English
USA
Français
Deutsch
Italiano
Čeština
Español
Slovensku
