Российские хакеры атакуют Украину и НАТО по новой схеме: что нельзя делать ни в коем случае

Российские хакеры рассылают зашифрованные файлы, чтобы манипулировать жертвами и заставить их установить вредоносную программу. К такому выводу пришли специалисты компании Google, которые сообщили о проблеме в своем официальном блоге.

Специалисты по кибербезопасности из Google написали в официальном блоге компании, что группа российских хакеров Coldriver, спонсируемых Кремлем, разработала новую тактику фишинга (фишинг — способ мошенничества в интернете, целью которого является получение доступа к конфиденциальной информации людей, таким как логины и пароли, — ред.). Эксперты утверждают, что это та самая группировка, которая в 2023 году атаковала 3 ядерные исследовательские лаборатории США.

"Coldriver часто использует учетные записи, выдающие себя за эксперта в определенной области, например, в области кибербезопасности. Затем при помощи этой учетной записи они связываются с жертвами и убеждают, что их компьютеры находятся в опасности, но они могут помочь. В итоге злоумышленники отправляют документ якобы с инструкцией по установке антивируса, содержащий вредоносную ссылку", — пишут эксперты.

Чтобы обманом заставить людей установить вредоносное ПО, Coldriver рассылает статьи в формате PDF с просьбой оставить отзыв. Текст в этом PDF-файле зашифрован особым образом. Если пользователь попал на удочку, то он сообщает мнимому специалисту, что не может прочесть текст. Тот предлагает выслать ссылку на утилиту по дешифровке, но на деле "утилита дешифрования" является бэкдором (бэкдор — дефект, который намеренно встраивается в компьютерный код, что позволяет получить несанкционированный доступ к данным или удаленному управлению компьютером, — ред.).

В Google этот бэкдор назвали Spica. После установки вредоносное ПО может выполнять команды удаленно, красть файлы cookie из браузера пользователя, загружать и выгружать файлы, а также удалять документы с компьютера. Google заявляет, что впервые Spica начали использовать еще в сентябре 2023 года. Всего было обнаружено 4 зашифрованных PDF-приманки, но Google удалось получить только один образец Spica, который появился в виде инструмента под названием "Proton-decrypter.exe".

При помощи этого вредоноса хакеры Colddriver хотели украсть учетные данные пользователей и групп, связанных с Украиной, НАТО, научными учреждениями и неправительственными организациями. Чтобы защитить пользователей, компания обновила программное обеспечение Google, чтобы блокировать загрузку доменов, связанных с фишинговой кампанией Coldriver.

Google опубликовала отчет через месяц после того, как власти США предупредили, что группировка Coldriver, также известная как Star Blizzard, "продолжает успешно использовать фишинговые атаки" для поражения целей в Великобритании.

"С 2019 года Star Blizzard нацелена на такие сектора, как академические круги, правительственные организации, неправительственные организации, аналитические центры и политиков, — заявило Агентство кибербезопасности и безопасности инфраструктуры США. — В 2022 году деятельность Star Blizzard, похоже, еще больше расширилась, так как целями стали оборонно-промышленные объекты, а также объекты Министерства энергетики США".

Ранее мы сообщали о том, что хакеры атаковали браузер Chrome и под угрозой оказались банковские счета пользователей. Киберпреступники могут украсть личные данные, пароли и номера кредитных карт пользователей. Под угрозой также браузеры Edge, Brave и Opera.