![Pinterest](https://pinterest.com/pin/create/button/?url=https://de.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://de.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
Laut Google sendet eine Gruppe russischer Staatshacker verschlüsselte PDF-Dateien, um Opfer dazu zu bringen, ein Entschlüsselungsprogramm auszuführen, bei dem es sich in Wirklichkeit um Malware handelt.
Gestern veröffentlichte das Unternehmen einen Blogbeitrag, in dem eine neue Phishing-Taktik von Coldriver dokumentiert wurde, einer Hackergruppe, die in den USA und Großbritannien im Verdacht steht, für die russische Regierung zu arbeiten. Vor einem Jahr wurde berichtet, dass Coldriver drei US-Atomforschungslabore ins Visier genommen hatte. Wie andere Hacker versucht Coldriver, den Computer eines Opfers zu übernehmen, indem es Phishing-Nachrichten sendet, die am Ende Schadsoftware übertragen.
„Coldriver nutzt oft gefälschte Konten und gibt vor, ein Experte auf einem bestimmten Gebiet zu sein oder in irgendeiner Weise mit dem Opfer in Verbindung zu stehen“, fügte das Unternehmen hinzu. „Der Fake-Account wird dann zur Kontaktaufnahme mit dem Opfer genutzt, was die Erfolgswahrscheinlichkeit der Phishing-Kampagne erhöht und letztendlich einen Phishing-Link oder ein Dokument mit dem Link verschickt.“ Um das Opfer zur Installation der Malware zu bewegen, sendet Coldriver einen schriftlichen Artikel im PDF-Format mit der Bitte um Feedback. Obwohl die PDF-Datei sicher geöffnet werden kann, wird der darin enthaltene Text verschlüsselt.
„Wenn das Opfer antwortet, dass es das verschlüsselte Dokument nicht lesen kann, antwortet das Coldriver-Konto mit einem Link, normalerweise im Cloud-Speicher, zu einem ‚Entschlüsselungs‘-Dienstprogramm, das das Opfer verwenden kann“, sagte Google in einer Erklärung. „Dieses Entschlüsselungsprogramm, das auch ein gefälschtes Dokument anzeigt, ist tatsächlich eine Hintertür.“
Die Backdoor mit dem Namen Spica ist laut Google die erste benutzerdefinierte Malware, die von Coldriver entwickelt wurde. Nach der Installation kann die Malware Befehle ausführen, Cookies aus dem Browser des Benutzers stehlen, Dateien hoch- und herunterladen sowie Dokumente vom Computer stehlen.
Google gibt an, „den Einsatz von Spica bereits im September 2023 beobachtet zu haben, geht jedoch davon aus, dass Coldriver die Hintertür seit mindestens November 2022 nutzt.“ Insgesamt wurden vier verschlüsselte PDF-Köder entdeckt, aber Google konnte nur ein Spica-Beispiel extrahieren, das als Tool namens „Proton-decrypter.exe“ geliefert wurde.
Das Unternehmen fügt hinzu, dass das Ziel von Coldriver darin bestand, die Anmeldeinformationen von Benutzern und Gruppen zu stehlen, die mit der Ukraine, der NATO, akademischen Institutionen und Nichtregierungsorganisationen in Verbindung stehen. Zum Schutz der Nutzer hat das Unternehmen die Google-Software aktualisiert, um Downloads von Domains zu blockieren, die mit der Coldriver-Phishing-Kampagne verknüpft sind.
Google veröffentlichte den Bericht einen Monat, nachdem US-Cyberdienste gewarnt hatten, dass Coldriver, auch bekannt als Star Blizzard, „weiterhin erfolgreich Spear-Phishing-Angriffe einsetzt“, um Ziele in Großbritannien anzugreifen.
„Seit 2019 hat Star Blizzard Sektoren wie Wissenschaft, Verteidigung, Regierungsorganisationen, Nichtregierungsorganisationen, Denkfabriken und politische Entscheidungsträger ins Visier genommen“, sagte die US-amerikanische Cybersecurity and Infrastructure Security Agency. „Im Jahr 2022 scheinen sich die Aktivitäten von Star Blizzard noch weiter ausgeweitet zu haben und umfassen Verteidigungs- und Industrieanlagen sowie Einrichtungen des US-Energieministeriums.“
Lesen Sie auch: