Los hackers respaldados por el Kremlin han estado sirviendo PDF cifrados para manipular a las víctimas para que instalen una utilidad de descifrado que en realidad es malware, afirma Google.
Google afirma que un grupo de hackers rusos patrocinados por el Estado ha sido descubierto enviando archivos PDF cifrados para engañar a las víctimas y hacerles ejecutar una herramienta de descifrado que en realidad es malware.
El jueves, la empresa publicó una entrada en su blog en la que documentaba una nueva táctica de phishing de Coldriver, un grupo de piratas informáticos que Estados Unidos y el Reino Unido sospechan que trabaja para el gobierno ruso. Hace un año se supo que Coldriver había atacado tres laboratorios de investigación nuclear estadounidenses.
Al igual que otros hackers, Coldriver intentará secuestrar el ordenador de la víctima enviando mensajes de phishing que culminarán con la entrega de malware.
«Coldriver suele utilizar cuentas de suplantación de identidad, haciéndose pasar por un experto en un campo concreto o afiliado de alguna manera al objetivo», añade la empresa. «La cuenta de suplantación se utiliza entonces para establecer una relación con el objetivo, aumentando la probabilidad de éxito de la campaña de phishing, y finalmente envía un enlace de phishing o un documento que contiene un enlace».
Para engañar al objetivo y conseguir que instale el malware, Coldriver enviará un artículo escrito en formato PDF, solicitando su opinión. Aunque el PDF será seguro de abrir, el texto que contiene parecerá estar cifrado.
«Si el objetivo responde que no puede leer el documento cifrado, la cuenta de suplantación de Coldriver responde con un enlace, normalmente alojado en un sitio de almacenamiento en la nube, a una utilidad de ‘descifrado’ para que el objetivo la utilice», explica Google. «Esta utilidad de descifrado, aunque también muestra un documento señuelo, es en realidad una puerta trasera».
La puerta trasera, denominada Spica, parece ser el primer malware personalizado desarrollado por Coldriver, según Google. Una vez instalado, el malware puede ejecutar comandos, robar cookies del navegador del usuario, descargar y cargar archivos y extraer documentos del ordenador.
Google afirma que «ha observado que Spica se utiliza desde septiembre de 2023, pero cree que el uso de la puerta trasera por parte de Coldriver se remonta al menos a noviembre de 2022». Se detectaron un total de cuatro señuelos de PDF cifrados, pero Google solo consiguió recuperar una única muestra de Spica, que llegó como una herramienta llamada «Proton-decrypter.exe».
La empresa añade que el objetivo de Coldriver ha sido robar credenciales de acceso de usuarios y grupos relacionados con Ucrania, la OTAN, instituciones académicas y ONG. Para proteger a los usuarios, la empresa ha actualizado el software de Google para bloquear los dominios de carga vinculados a la campaña de phishing de Coldriver.
Google publicó el informe un mes después de que las autoridades cibernéticas estadounidenses advirtieran de que Coldriver, también conocido como Star Blizzard, «sigue utilizando con éxito ataques de spear-phishing» para atacar objetivos en el Reino Unido.
«Desde 2019, Star Blizzard ha apuntado a sectores que incluyen el académico, la defensa, las organizaciones gubernamentales, las ONG, los grupos de reflexión y los políticos», dijo la Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos. «Durante 2022, la actividad de Star Blizzard pareció expandirse aún más, para incluir objetivos de la industria de defensa, así como instalaciones del Departamento de Energía de los Estados Unidos».