![pinterest](https://pinterest.com/pin/create/button/?url=https://id.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://id.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
Google mengatakan sekelompok peretas negara Rusia mengirimkan file PDF terenkripsi untuk mengelabui korban agar menjalankan utilitas dekripsi yang sebenarnya adalah malware.
Kemarin, perusahaan tersebut menerbitkan postingan blog yang mendokumentasikan taktik phishing baru yang dilakukan Coldriver, sebuah kelompok peretasan yang dicurigai AS dan Inggris bekerja untuk pemerintah Rusia. Setahun lalu, Coldriver dilaporkan menargetkan tiga laboratorium penelitian nuklir AS. Seperti peretas lainnya, Coldriver mencoba mengambil alih komputer korban dengan mengirimkan pesan phishing yang akhirnya mengantarkan malware.
“Coldriver sering menggunakan akun palsu, berpura-pura menjadi ahli di bidang tertentu atau berhubungan dengan korban,” tambah perusahaan tersebut. “Akun tiruan kemudian digunakan untuk menghubungi korban, yang meningkatkan kemungkinan keberhasilan kampanye phishing, dan pada akhirnya mengirimkan tautan phishing atau dokumen yang berisi tautan tersebut.” Agar korban menginstal malware tersebut, Coldriver mengirimkan artikel tertulis dalam format PDF untuk meminta masukan. Meskipun file PDF dapat dibuka dengan aman, teks di dalamnya akan dienkripsi.
“Jika korban menjawab bahwa mereka tidak dapat membaca dokumen terenkripsi, akun Coldriver akan merespons dengan tautan, biasanya di penyimpanan cloud, ke utilitas ‘dekripsi’ yang dapat digunakan korban,” kata Google dalam sebuah pernyataan. "Utilitas dekripsi ini, yang juga menampilkan dokumen palsu, sebenarnya adalah pintu belakang."
Dijuluki Spica, pintu belakang adalah malware khusus pertama yang dikembangkan oleh Coldriver, menurut Google. Setelah terinstal, malware dapat menjalankan perintah, mencuri cookie dari browser pengguna, mengunggah dan mengunduh file, serta mencuri dokumen dari komputer.
Google menyatakan bahwa mereka "mengamati penggunaan Spica sejak September 2023, tetapi yakin bahwa Coldriver telah menggunakan pintu belakang setidaknya sejak November 2022." Sebanyak empat umpan PDF terenkripsi terdeteksi, namun Google hanya berhasil mengekstrak satu sampel Spica, yang datang dalam bentuk alat yang disebut “Proton-decrypter.exe”.
Perusahaan menambahkan bahwa tujuan Coldriver adalah mencuri kredensial pengguna dan kelompok yang terkait dengan Ukraina, NATO, lembaga akademis, dan organisasi non-pemerintah. Untuk melindungi pengguna, perusahaan telah memperbarui perangkat lunak Google untuk memblokir unduhan dari domain yang terkait dengan kampanye phishing Coldriver.
Google mempublikasikan laporan tersebut sebulan setelah layanan cyber AS memperingatkan bahwa Coldriver, juga dikenal sebagai Star Blizzard, “terus berhasil menggunakan serangan spear phishing” untuk mencapai target di Inggris.
“Sejak 2019, Star Blizzard telah menargetkan sektor-sektor seperti akademisi, pertahanan, organisasi pemerintah, organisasi non-pemerintah, lembaga pemikir, dan pembuat kebijakan,” kata Badan Keamanan Siber dan Keamanan Infrastruktur AS. “Selama tahun 2022, aktivitas Star Blizzard tampaknya telah berkembang lebih jauh hingga mencakup fasilitas pertahanan dan industri, serta fasilitas Departemen Energi AS.”
Baca juga: