Хакеры рассылают зашифрованные PDF-файлы, чтобы внедрить вредоносное ПО

Вредоносное программное обеспечение (ПО), замаскированное под инструмент шифрования PDF-файлов, используют хакеры, чтобы красть информацию 2 апреля сообщается в отчете Threat Analysis Group (TAG).

По данным TAG, специализированной команды Google, занимающейся выявлением и противодействием различным угрозам цифровой безопасности, хакерская группа Coldriver в первую очередь занимается фишинговыми атаками. То есть использование вредоносного ПО является относительно новой практикой для группы.

Сначала группа Coldriver отправляет жертвам зашифрованные PDF-файлы. Когда адресат ответит, что не видит полученный PDF-файл, группа отправит ссылку для скачивания, выдающую себя за инструмент шифрования. Под этой ссылкой скрывается вредоносное ПО.

Скачанный жертвой «инструмент шифрования» даже отобразит поддельный PDF-документ, чтобы выглядеть более убедительно. Однако на самом деле он внедряет в ваше устройство вредоносное ПО под названием Spica.

Spica направлен на кражу файлов cookie из провайдеров Google Chrome, FireFox, Edge и Opera, чтобы видеть вашу деятельность в интернете.

В Google сказали, что уведомили целевых пользователей о риске атаки. Кроме того, все домены, веб-сайты и файлы, вовлеченные в атаки, были добавлены в службу безопасного просмотра.

Специалисты Google считают, что Spica применяется с сентября 2023 года. Но деятельность Coldriver (также известной как UNC4057, Star Blizzard и Callisto), отслеживается с 2022 года. Считается, что Coldriver является российской группой хакеров, занимающейся фишингом учетных данных против высокопоставленных лиц стран Запада.