Google का कहना है कि रूसी राज्य हैकरों का एक समूह पीड़ितों को डिक्रिप्शन उपयोगिता चलाने के लिए धोखा देने के लिए एन्क्रिप्टेड पीडीएफ फाइलें भेज रहा है जो वास्तव में मैलवेयर है।
कल, कंपनी ने एक ब्लॉग पोस्ट प्रकाशित किया जिसमें कोल्ड्रिवर की एक नई फ़िशिंग रणनीति का दस्तावेजीकरण किया गया, जो एक हैकिंग समूह है जिस पर अमेरिका और ब्रिटेन को रूसी सरकार के लिए काम करने का संदेह है। एक साल पहले यह खबर आई थी कि कोल्ड्रिवर ने तीन अमेरिकी परमाणु अनुसंधान प्रयोगशालाओं को निशाना बनाया था। अन्य हैकर्स की तरह, कोल्ड्रिवर फ़िशिंग संदेश भेजकर पीड़ित के कंप्यूटर पर कब्ज़ा करने की कोशिश करता है जो अंततः मैलवेयर वितरित करता है।
कंपनी ने कहा, "कोल्ड्रिवर अक्सर नकली खातों का उपयोग करता है, किसी विशेष क्षेत्र में विशेषज्ञ होने या किसी तरह पीड़ित से संबंधित होने का दिखावा करता है।" "फर्जी खाते का उपयोग पीड़ित से संपर्क करने के लिए किया जाता है, जिससे फ़िशिंग अभियान के सफल होने की संभावना बढ़ जाती है, और अंततः एक फ़िशिंग लिंक या लिंक वाला दस्तावेज़ भेजता है।" पीड़ित को मैलवेयर इंस्टॉल करने के लिए, कोल्डड्राइवर पीडीएफ प्रारूप में एक लिखित लेख भेजकर प्रतिक्रिया मांगता है। हालाँकि पीडीएफ फ़ाइल को सुरक्षित रूप से खोला जा सकता है, लेकिन अंदर का पाठ एन्क्रिप्ट किया जाएगा।
गूगल ने एक बयान में कहा, "अगर पीड़ित जवाब देता है कि वे एन्क्रिप्टेड दस्तावेज़ को नहीं पढ़ सकते हैं, तो कोल्डड्राइवर खाता एक लिंक के साथ जवाब देता है, आमतौर पर क्लाउड स्टोरेज पर, 'डिक्रिप्शन' उपयोगिता के लिए, जिसका पीड़ित उपयोग कर सकता है।" "यह डिक्रिप्शन उपयोगिता, जो एक नकली दस्तावेज़ भी प्रदर्शित करती है, वास्तव में एक पिछला दरवाजा है।"
Google के अनुसार, डब किया गया स्पिका, बैकडोर कोल्ड्रिवर द्वारा विकसित पहला कस्टम मैलवेयर है। एक बार इंस्टॉल होने के बाद, मैलवेयर कमांड निष्पादित कर सकता है, उपयोगकर्ता के ब्राउज़र से कुकीज़ चुरा सकता है, फ़ाइलें अपलोड और डाउनलोड कर सकता है और कंप्यूटर से दस्तावेज़ चुरा सकता है।
Google का कहना है कि उसने "सितंबर 2023 तक स्पिका के उपयोग को देखा था, लेकिन उसका मानना है कि कोल्डड्राइवर कम से कम नवंबर 2022 से पिछले दरवाजे का उपयोग कर रहा है।" कुल चार एन्क्रिप्टेड पीडीएफ डिकॉय का पता लगाया गया था, लेकिन Google केवल एक स्पिका नमूना निकालने में कामयाब रहा, जो "प्रोटॉन-डिक्रिप्टर.exe" नामक टूल के रूप में आया था।
कंपनी का कहना है कि कोल्ड्रिवर का लक्ष्य यूक्रेन, नाटो, शैक्षणिक संस्थानों और गैर-सरकारी संगठनों से जुड़े उपयोगकर्ताओं और समूहों की साख चुराना था। उपयोगकर्ताओं की सुरक्षा के लिए, कंपनी ने कोल्ड्रिवर फ़िशिंग अभियान से जुड़े डोमेन से डाउनलोड को ब्लॉक करने के लिए Google सॉफ़्टवेयर को अपडेट किया है।
अमेरिकी साइबर सेवाओं द्वारा चेतावनी दिए जाने के एक महीने बाद Google ने रिपोर्ट प्रकाशित की कि कोल्ड्रिवर, जिसे स्टार ब्लिज़ार्ड के नाम से भी जाना जाता है, यूके में लक्ष्यों को हिट करने के लिए "स्पीयर फ़िशिंग हमलों का सफलतापूर्वक उपयोग करना जारी रखता है"।
यूएस साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी ने कहा, "2019 से, स्टार ब्लिज़ार्ड ने शिक्षा, रक्षा, सरकारी संगठनों, गैर-सरकारी संगठनों, थिंक टैंक और नीति निर्माताओं जैसे क्षेत्रों को लक्षित किया है।" "2022 के दौरान, स्टार ब्लिज़ार्ड की गतिविधि में रक्षा और औद्योगिक सुविधाओं के साथ-साथ अमेरिकी ऊर्जा विभाग की सुविधाओं को शामिल करने के लिए और भी अधिक विस्तार हुआ प्रतीत होता है।"
यह भी पढ़ें: