Google rapporte que ColdRiver, un gang de hackers soutenu par la Russie, utilise des logiciels malveillants déguisés en logiciel de décryptage de PDF pour voler les informations personnelles de ses victimes. Les pirates informatiques envoient des documents PDF apparemment cryptés via des e-mails de phishing se faisant passer pour des personnes affiliées à leurs cibles. Et lorsque les destinataires répondent qu’ils ne peuvent pas lire les PDF cryptés, ils reçoivent un lien leur permettant de télécharger ce qui ressemble à un exécutable d’un faux logiciel de décryptage de PDF afin de visualiser le contenu des documents. Ils se retrouvent alors infectés.
La nouvelle forme d’attaque de ColdRiver a été révélée fin janvier par le Threats Analysis Group (TAG) de Google. Le rapport du TAG indique que cette tactique a été observée pour la première fois en novembre 2022. Pour mémoire, ColdRiver (alias Blue Charlie, Callisto, Star Blizzard ou UNC4057) est répertorié comme un gang de hackers que les chercheurs en cybersécurité soupçonnent de travailler pour le gouvernement russe. Il y a un an, des rapports de sécurité indiquaient que ColdRiver avait ciblé trois laboratoires de recherche nucléaire américains.
Comme d’autres pirates, ColdRiver tente de pirater l’ordinateur d’une victime en envoyant des messages de phishing qui entraînent la diffusion de logiciels malveillants. Dans le cadre de cette menace, l’équipe de Google a signalé que ColdRiver propageait un malware de porte dérobée jusqu’alors inconnu, en utilisant des charges utiles se faisant passer pour un outil de décryptage de PDF. Selon le rapport de TAG, les pirates informatiques envoient des documents PDF apparemment cryptés via des e-mails de phishing qui usurpent l’identité de personnes affiliées à leurs cibles.
Capture d’écran du texte chiffré dans un document leurre
Lorsqu’un destinataire répond qu’il ne peut pas lire les documents « cryptés », il reçoit un lien lui permettant de télécharger ce qui ressemble à un exécutable de l’outil de décryptage de PDF (nommé Proton-decrypter.exe) afin de visualiser le contenu des documents leurres. ColdRiver présente ces documents comme un nouvel article d’opinion ou un autre type d’article que le compte d’usurpation d’identité cherche à publier, demandant son avis à la cible. Lorsque l’utilisateur ouvre le PDF inoffensif, le texte apparaît crypté, indique le rapport. Les victimes sont alors exposées à une violation de données.
Selon le TAG de Google, le faux logiciel de décryptage joue deux rôles : il affiche un document PDF leurre et ouvre une porte dérobée sur les appareils des victimes à l’aide d’une souche de malware baptisée Spica par les chercheurs. Ils pensent qu’il existe probablement plusieurs échantillons de Spica correspondant aux leurres de phishing, chacun avec un document de leurre différent. Cependant, ils n’ont pu prélever qu’un échantillon lors de leur enquête sur cette campagne. Spica, écrit en Rust, utilise JSON via des websockets pour communiquer avec son serveur de commande et de contrôle (C2).
Les chercheurs de Google affirment que Spica semble être le premier malware personnalisé développé par ColdRiver. Il vous permet d’exécuter des commandes shell arbitraires, de voler des cookies de Chrome, Firefox, Opera et Edge, de télécharger des fichiers et d’exfiltrer des documents. Une fois déployé sur un appareil compromis, Spica établit également la persistance à l’aide d’une commande PowerShell obscurcie qui crée une tâche de programme « CalendarChecker ». Google a ajouté tous les domaines, sites Web et fichiers utilisés dans ces attaques à son service de protection contre le phishing « Navigation sécurisée ».
La société a également déclaré avoir informé tous les utilisateurs ciblés de Gmail et Workspace qu’ils étaient la cible d’une attaque soutenue par le gouvernement. De plus, Google ajoute que l’objectif des pirates russes était de voler les identifiants de connexion des utilisateurs et des groupes liés à l’Ukraine, à l’OTAN, aux institutions universitaires et aux ONG. On ne sait pas exactement comment l’entreprise est parvenue à cette conclusion. Ce rapport intervient environ un mois après que les autorités américaines ont averti que ColdRiver continuait de recourir avec succès à des attaques de phishing ciblées pour atteindre des cibles au Royaume-Uni.
Commande PowerShell obscurcie
L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a expliqué : Depuis 2019, Star Blizzard cible des secteurs tels que le monde universitaire, la défense, les organisations gouvernementales, les ONG, la réflexion et les hommes politiques. En 2022, l’activité de Star Blizzard a semblé s’étendre davantage, pour inclure des cibles militaires et industrielles, ainsi que des installations du ministère américain de l’Énergie. ColdRiver est actif depuis fin 2015 et est connu pour ses compétences en matière de renseignement.
En décembre, le Royaume-Uni et ses alliés des Five Eyes ont lié ColdRiver à la division « Centre 18 » du Service fédéral de sécurité (FSB) russe, le service de sécurité intérieure et de contre-espionnage du pays. . Auparavant, Microsoft avait signalé avoir déjoué les attaques ColdRiver ciblant plusieurs pays européens de l’OTAN en désactivant les comptes Microsoft que les attaquants utilisaient pour surveiller et récolter les e-mails.
Depuis décembre 2023, le Département d’État américain offre des récompenses allant jusqu’à 10 millions de dollars pour toute information permettant de localiser ou d’identifier les pirates du groupe ColdRiver.
Source : Google
Et toi ?
Quelle est votre opinion sur le sujet ?
Que pensez-vous de la menace signalée par les chercheurs de Google ?
Avez-vous déjà été confronté à ce type d’attaque ? Si oui, partagez votre expérience.
Voir aussi
Google accepte de supprimer les données utilisateur qu’il a secrètement collectées lors des sessions de navigation en mode Incognito, après avoir fait l’objet de poursuites judiciaires
Dans les coulisses de TikTok : quelles données collecte-t-il réellement ? TikTok récupère vos données même si vous n’avez jamais utilisé l’application, que l’application soit supprimée ou non, indique un rapport
Un e-mail de phishing sur six est ouvert et le phishing par lien a réussi dans 11 % des cas, révèle un nouveau rapport Proofpoint.
