Российские хакеры атакуют Украину и НАТО по новой схеме: что нельзя делать ни в коем случае

хакеры, флаг России
Фото: Getty Images | Российские хакеры: иллюстративное фото

Специалисты по кибербезопасности из Google обнаружили вредоносную программу и выпустили обновления, чтобы блокировать ее.

Российские хакеры рассылают зашифрованные файлы, чтобы манипулировать жертвами и заставить их установить вредоносную программу. К такому выводу пришли специалисты компании Google, которые сообщили о проблеме в своем официальном блоге.

Специалисты по кибербезопасности из Google написали в официальном блоге компании, что группа российских хакеров Coldriver, спонсируемых Кремлем, разработала новую тактику фишинга (фишинг — способ мошенничества в интернете, целью которого является получение доступа к конфиденциальной информации людей, таким как логины и пароли, — ред.). Эксперты утверждают, что это та самая группировка, которая в 2023 году атаковала 3 ядерные исследовательские лаборатории США.

"Coldriver часто использует учетные записи, выдающие себя за эксперта в определенной области, например, в области кибербезопасности. Затем при помощи этой учетной записи они связываются с жертвами и убеждают, что их компьютеры находятся в опасности, но они могут помочь. В итоге злоумышленники отправляют документ якобы с инструкцией по установке антивируса, содержащий вредоносную ссылку", — пишут эксперты.

Чтобы обманом заставить людей установить вредоносное ПО, Coldriver рассылает статьи в формате PDF с просьбой оставить отзыв. Текст в этом PDF-файле зашифрован особым образом. Если пользователь попал на удочку, то он сообщает мнимому специалисту, что не может прочесть текст. Тот предлагает выслать ссылку на утилиту по дешифровке, но на деле "утилита дешифрования" является бэкдором (бэкдор — дефект, который намеренно встраивается в компьютерный код, что позволяет получить несанкционированный доступ к данным или удаленному управлению компьютером, — ред.).

В Google этот бэкдор назвали Spica. После установки вредоносное ПО может выполнять команды удаленно, красть файлы cookie из браузера пользователя, загружать и выгружать файлы, а также удалять документы с компьютера. Google заявляет, что впервые Spica начали использовать еще в сентябре 2023 года. Всего было обнаружено 4 зашифрованных PDF-приманки, но Google удалось получить только один образец Spica, который появился в виде инструмента под названием "Proton-decrypter.exe".

Важно
Мошенники рассылают украинцам опасные письма от имени "Укрпошты": как не стать жертвой

При помощи этого вредоноса хакеры Colddriver хотели украсть учетные данные пользователей и групп, связанных с Украиной, НАТО, научными учреждениями и неправительственными организациями. Чтобы защитить пользователей, компания обновила программное обеспечение Google, чтобы блокировать загрузку доменов, связанных с фишинговой кампанией Coldriver.

Google опубликовала отчет через месяц после того, как власти США предупредили, что группировка Coldriver, также известная как Star Blizzard, "продолжает успешно использовать фишинговые атаки" для поражения целей в Великобритании.

"С 2019 года Star Blizzard нацелена на такие сектора, как академические круги, правительственные организации, неправительственные организации, аналитические центры и политиков, — заявило Агентство кибербезопасности и безопасности инфраструктуры США. — В 2022 году деятельность Star Blizzard, похоже, еще больше расширилась, так как целями стали оборонно-промышленные объекты, а также объекты Министерства энергетики США".

Ранее мы сообщали о том, что хакеры атаковали браузер Chrome и под угрозой оказались банковские счета пользователей. Киберпреступники могут украсть личные данные, пароли и номера кредитных карт пользователей. Под угрозой также браузеры Edge, Brave и Opera.