گوگل می گوید گروهی از هکرهای دولتی روسیه فایل های پی دی اف رمزگذاری شده را برای فریب قربانیان برای اجرای یک ابزار رمزگشایی که در واقع بدافزار است، ارسال می کنند.
دیروز، این شرکت یک پست وبلاگی منتشر کرد که در آن یک تاکتیک جدید فیشینگ توسط Coldriver، یک گروه هکری که ایالات متحده و بریتانیا مشکوک به کار برای دولت روسیه هستند، منتشر کرد. یک سال پیش گزارش شد که Coldriver سه آزمایشگاه تحقیقات هسته ای آمریکا را هدف قرار داده است. مانند سایر هکرها، Coldriver سعی میکند با ارسال پیامهای فیشینگ که در نهایت بدافزار را تحویل میدهند، رایانه قربانی را تحت کنترل درآورد.
این شرکت افزود: Coldriver اغلب از حسابهای جعلی استفاده میکند و وانمود میکند که در زمینه خاصی متخصص است یا به نوعی با قربانی مرتبط است. سپس از حساب جعلی برای تماس با قربانی استفاده می شود که احتمال موفقیت کمپین فیشینگ را افزایش می دهد و در نهایت یک لینک یا سند فیشینگ حاوی پیوند ارسال می کند. برای ترغیب قربانی به نصب بدافزار، Coldriver یک مقاله مکتوب با فرمت PDF ارسال می کند و درخواست بازخورد می کند. اگرچه فایل PDF را می توان با خیال راحت باز کرد، متن داخل آن رمزگذاری می شود.
گوگل در بیانیهای اعلام کرد: «اگر قربانی پاسخ دهد که نمیتواند سند رمزگذاریشده را بخواند، حساب Coldriver با پیوندی که معمولاً در فضای ذخیرهسازی ابری است، به ابزار «رمزگشایی» که قربانی میتواند استفاده کند، پاسخ میدهد. این ابزار رمزگشایی، که یک سند جعلی را نیز نمایش می دهد، در واقع یک درب پشتی است.
به گفته گوگل، درب پشتی که Spica نام دارد، اولین بدافزار سفارشی است که توسط Coldriver توسعه یافته است. پس از نصب، بدافزار میتواند دستورات را اجرا کند، کوکیها را از مرورگر کاربر بدزدد، فایلها را آپلود و دانلود کند و اسناد را از رایانه به سرقت ببرد.
گوگل بیان می کند که "استفاده از Spica را تا سپتامبر 2023 مشاهده کرده است، اما معتقد است که Coldriver حداقل از نوامبر 2022 از درب پشتی استفاده می کند." در مجموع چهار فریب PDF رمزگذاری شده شناسایی شد، اما گوگل موفق شد تنها یک نمونه Spica را استخراج کند که به عنوان ابزاری به نام "Proton-decrypter.exe" عرضه شد.
این شرکت می افزاید که هدف Coldriver سرقت اعتبار کاربران و گروه های مرتبط با اوکراین، ناتو، موسسات دانشگاهی و سازمان های غیردولتی بوده است. برای محافظت از کاربران، این شرکت نرمافزار گوگل را بهروزرسانی کرده است تا دانلودها از دامنههای مرتبط با کمپین فیشینگ Coldriver را مسدود کند.
گوگل این گزارش را یک ماه پس از آن منتشر کرد که سرویسهای سایبری ایالات متحده هشدار دادند که Coldriver، که با نام Star Blizzard نیز شناخته میشود، "به استفاده موفقیتآمیز از حملات فیشینگ نیزهای" برای حمله به اهداف در بریتانیا ادامه میدهد.
آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده گفت: از سال 2019، Star Blizzard بخش هایی مانند دانشگاه، دفاع، سازمان های دولتی، سازمان های غیر دولتی، اتاق های فکر و سیاست گذاران را هدف قرار داد. در طول سال 2022، به نظر می رسد که فعالیت Star Blizzard حتی بیشتر از این گسترش یافته و شامل تأسیسات دفاعی و صنعتی و همچنین تأسیسات وزارت انرژی ایالات متحده می شود.
همچنین بخوانید: