Російські хакери атакують Україну і НАТО за новою схемою: що не можна робити в жодному разі

Російські хакери розсилають зашифровані файли, щоб маніпулювати жертвами і змусити їх встановити шкідливу програму. Такого висновку дійшли фахівці компанії Google, які повідомили про проблему у своєму офіційному блозі.

Фахівці з кібербезпеки з Google написали в офіційному блозі компанії, що група російських хакерів Coldriver, яких спонсорує Кремль, розробила нову тактику фішингу (фішинг — спосіб шахрайства в інтернеті, метою якого є отримання доступу до конфіденційної інформації людей, як-от логіни та паролі, — ред.). Експерти стверджують, що це те саме угруповання, яке 2023 року атакувало 3 ядерні дослідницькі лабораторії США.

"Coldriver часто використовує облікові записи, що видають себе за експерта в певній галузі, наприклад, у сфері кібербезпеки. Потім за допомогою цього облікового запису вони зв'язуються з жертвами і переконують, що їхні комп'ютери перебувають у небезпеці, але вони можуть допомогти. У підсумку зловмисники надсилають документ нібито з інструкцією зі встановлення антивіруса, що містить шкідливе посилання", — пишуть експерти.

Щоб обманом змусити людей встановити шкідливе ПЗ, Coldriver розсилає статті у форматі PDF з проханням залишити відгук. Текст у цьому PDF-файлі зашифрований особливим чином. Якщо користувач потрапив на вудку, то він повідомляє удаваному фахівцеві, що не може прочитати текст. Той пропонує вислати посилання на утиліту з дешифрування, але насправді "утиліта дешифрування" є бекдором (бекдор — дефект, який навмисно вбудовується в комп'ютерний код, що дає змогу отримати несанкціонований доступ до даних або віддаленого управління комп'ютером, — ред.).

У Google цей бекдор назвали Spica. Після встановлення шкідливе ПЗ може виконувати команди віддалено, красти файли cookie з браузера користувача, завантажувати і вивантажувати файли, а також видаляти документи з комп'ютера. Google заявляє, що вперше Spica почали використовувати ще у вересні 2023 року. Загалом було виявлено 4 зашифровані PDF-приманки, але Google вдалося отримати тільки один зразок Spica, який з'явився у вигляді інструменту під назвою "Proton-decrypter.exe".

За допомогою цього шкідника хакери Colddriver хотіли вкрасти облікові дані користувачів і груп, пов'язаних з Україною, НАТО, науковими установами та неурядовими організаціями. Щоб захистити користувачів, компанія оновила програмне забезпечення Google, щоб блокувати завантаження доменів, пов'язаних із фішинговою кампанією Coldriver.

Google опублікувала звіт через місяць після того, як влада США попередила, що угруповання Coldriver, також відоме як Star Blizzard, "продовжує успішно використовувати фішингові атаки" для ураження цілей у Великій Британії.

"З 2019 року Star Blizzard націлена на такі сектори, як академічні кола, урядові організації, неурядові організації, аналітичні центри та політиків, — заявило Агентство кібербезпеки та безпеки інфраструктури США. — У 2022 році діяльність Star Blizzard, схоже, ще більше розширилася, оскільки цілями стали оборонно-промислові об'єкти, а також об'єкти Міністерства енергетики США".

Раніше ми повідомляли про те, що хакери атакували браузер Chrome і під загрозою опинилися банківські рахунки користувачів. Кіберзлочинці можуть вкрасти особисті дані, паролі та номери кредитних карт користувачів. Під загрозою також браузери Edge, Brave і Opera.