![Pinterest](https://pinterest.com/pin/create/button/?url=https://pt.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://pt.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
O Google diz que um grupo de hackers estatais russos está enviando arquivos PDF criptografados para induzir as vítimas a executar um utilitário de descriptografia que na verdade é um malware.
Ontem, a empresa publicou uma postagem no blog documentando uma nova tática de phishing do Coldriver, um grupo de hackers que os EUA e o Reino Unido suspeitam de trabalhar para o governo russo. Há um ano, foi relatado que Coldriver tinha como alvo três laboratórios de investigação nuclear dos EUA. Assim como outros hackers, o Coldriver tenta assumir o controle do computador da vítima enviando mensagens de phishing que acabam entregando malware.
“A Coldriver costuma usar contas falsas, fingindo ser um especialista em uma determinada área ou de alguma forma relacionada à vítima”, acrescentou a empresa. “A conta falsa é então usada para entrar em contato com a vítima, o que aumenta a probabilidade de a campanha de phishing ser bem-sucedida e, em última análise, envia um link de phishing ou documento contendo o link”. Para fazer com que a vítima instale o malware, o Coldriver envia um artigo escrito em formato PDF pedindo feedback. Embora o arquivo PDF possa ser aberto com segurança, o texto dentro dele será criptografado.
“Se a vítima responder que não consegue ler o documento criptografado, a conta Coldriver responde com um link, geralmente no armazenamento em nuvem, para um utilitário de ‘descriptografia’ que a vítima pode usar”, afirmou o Google em comunicado. “Este utilitário de descriptografia, que também exibe um documento falso, é na verdade um backdoor.”
Apelidado de Spica, o backdoor é o primeiro malware personalizado desenvolvido pela Coldriver, segundo o Google. Uma vez instalado, o malware pode executar comandos, roubar cookies do navegador do usuário, fazer upload e download de arquivos e roubar documentos do computador.
O Google afirma que “observou o uso do Spica já em setembro de 2023, mas acredita que o Coldriver tem usado o backdoor desde pelo menos novembro de 2022”. Um total de quatro iscas de PDF criptografadas foram detectadas, mas o Google conseguiu extrair apenas uma amostra do Spica, que veio como uma ferramenta chamada “Proton-decrypter.exe”.
A empresa acrescenta que o objetivo do Coldriver era roubar credenciais de utilizadores e grupos associados à Ucrânia, NATO, instituições académicas e organizações não governamentais. Para proteger os usuários, a empresa atualizou o software do Google para bloquear downloads de domínios vinculados à campanha de phishing Coldriver.
O Google publicou o relatório um mês depois que os serviços cibernéticos dos EUA alertaram que o Coldriver, também conhecido como Star Blizzard, “continua a usar com sucesso ataques de spear phishing” para atingir alvos no Reino Unido.
“A partir de 2019, a Star Blizzard teve como alvo setores como academia, defesa, organizações governamentais, organizações não governamentais, grupos de reflexão e legisladores”, disse a Agência de Segurança Cibernética e de Infraestrutura dos EUA. “Durante 2022, a atividade da Star Blizzard parece ter se expandido ainda mais para incluir instalações industriais e de defesa, bem como instalações do Departamento de Energia dos EUA.”
Leia também: