![بينترست](https://pinterest.com/pin/create/button/?url=https://ar.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://ar.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
تقول شركة جوجل إن مجموعة من المتسللين الحكوميين الروس يرسلون ملفات PDF مشفرة لخداع الضحايا لتشغيل أداة فك التشفير التي هي في الواقع برامج ضارة.
بالأمس، نشرت الشركة منشورًا على مدونة يوثق تكتيكًا جديدًا للتصيد الاحتيالي من قبل مجموعة Coldriver، وهي مجموعة قرصنة تشتبه الولايات المتحدة والمملكة المتحدة في أنها تعمل لصالح الحكومة الروسية. قبل عام، أفيد أن شركة Coldriver استهدفت ثلاثة مختبرات أبحاث نووية أمريكية. مثل غيره من المتسللين، يحاول Coldriver الاستيلاء على كمبيوتر الضحية عن طريق إرسال رسائل تصيد احتيالي تؤدي في النهاية إلى تسليم برامج ضارة.
وأضافت الشركة: "غالبًا ما يستخدم موقع Colddriver حسابات مزيفة، متظاهرًا بأنه خبير في مجال معين أو مرتبط بطريقة أو بأخرى بالضحية". "يتم بعد ذلك استخدام الحساب المزيف للاتصال بالضحية، مما يزيد من احتمالية نجاح حملة التصيد الاحتيالي، وفي النهاية يتم إرسال رابط تصيد أو مستند يحتوي على الرابط." ولحث الضحية على تثبيت البرنامج الضار، يرسل Coldriver مقالة مكتوبة بتنسيق PDF يطلب فيها التعليق. على الرغم من أنه يمكن فتح ملف PDF بأمان، إلا أنه سيتم تشفير النص الموجود بداخله.
وقالت جوجل في بيان: "إذا رد الضحية بأنه لا يستطيع قراءة المستند المشفر، فإن حساب Coldriver يستجيب برابط، عادة على التخزين السحابي، إلى أداة فك التشفير التي يمكن للضحية استخدامها". "أداة فك التشفير هذه، والتي تعرض أيضًا مستندًا مزيفًا، هي في الواقع باب خلفي."
يعد الباب الخلفي، الذي يطلق عليه اسم Spica، أول برنامج ضار مخصص تم تطويره بواسطة Coldriver، وفقًا لشركة Google. بمجرد التثبيت، يمكن للبرامج الضارة تنفيذ الأوامر، وسرقة ملفات تعريف الارتباط من متصفح المستخدم، وتحميل وتنزيل الملفات، وسرقة المستندات من الكمبيوتر.
صرحت Google بأنها "لاحظت استخدام Spica منذ سبتمبر 2023، لكنها تعتقد أن Coldriver يستخدم الباب الخلفي منذ نوفمبر 2022 على الأقل". تم اكتشاف ما مجموعه أربعة شراك خداعية مشفرة لملفات PDF، لكن Google تمكنت من استخراج عينة واحدة فقط من Spica، والتي جاءت كأداة تسمى "Proton-decrypter.exe".
وتضيف الشركة أن هدف Coldriver كان سرقة بيانات اعتماد المستخدمين والمجموعات المرتبطة بأوكرانيا وحلف شمال الأطلسي والمؤسسات الأكاديمية والمنظمات غير الحكومية. ولحماية المستخدمين، قامت الشركة بتحديث برنامج Google لمنع التنزيلات من النطاقات المرتبطة بحملة التصيد الاحتيالي Coldriver.
ونشرت جوجل التقرير بعد شهر من تحذير خدمات الإنترنت الأمريكية من أن شركة Coldriver، المعروفة أيضًا باسم Star Blizzard، "تواصل بنجاح استخدام هجمات التصيد الاحتيالي" لضرب أهداف في المملكة المتحدة.
وقالت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية: "بدءًا من عام 2019، استهدفت Star Blizzard قطاعات مثل الأوساط الأكاديمية والدفاع والمنظمات الحكومية والمنظمات غير الحكومية ومراكز الأبحاث وصانعي السياسات". "خلال عام 2022، يبدو أن نشاط Star Blizzard قد توسع بشكل أكبر ليشمل المنشآت الدفاعية والصناعية، بالإضافة إلى منشآت وزارة الطاقة الأمريكية".
اقرأ أيضا: