O Google revelou que um grupo de espionagem russo está por trás de uma nova campanha de malware, de acordo com informações divulgadas pela empresa.
Essa organização, conhecida por conduzir atividades de espionagem de longo prazo contra países da OTAN, como os Estados Unidos e o Reino Unido, agora está usando táticas aprimoradas para infectar suas vítimas com malware que rouba dados.
Identificado como “Cold River”, o grupo, também conhecido como “Callisto Group” e “Star Blizzard”, tem como alvo principalmente indivíduos e organizações envolvidos em assuntos internacionais e defesa.
Os pesquisadores acreditam que a relação próxima entre as atividades do grupo e o estado russo é evidente. Recentemente, dois cidadãos russos foram indiciados nos Estados Unidos por sua ligação com o grupo.
De acordo com o Grupo de Análise de Ameaças (TAG) do Google, o Cold River intensificou sua atividade nos últimos meses e está usando táticas novas e mais disruptivas contra suas vítimas, que incluem principalmente alvos na Ucrânia, aliados da OTAN, instituições acadêmicas e organizações não governamentais.
Eles descobriram que o grupo está empregando documentos em PDF como iscas para atrair as vítimas. Esses documentos, que vêm sendo entregues desde novembro de 2022, se disfarçam como artigos de opinião ou outras formas de texto, solicitando feedback das contas falsas.
Quando a vítima abre o PDF, o texto parece estar criptografado. Se a vítima informar que não consegue ler o documento, o hacker enviará um link para um utilitário de “descriptografia”.
Esse utilitário, identificado pelos pesquisadores do Google como uma porta dos fundos personalizada chamada “SPICA”, permite que os invasores tenham acesso persistente à máquina da vítima, realizando comandos, roubando cookies de navegadores e extraindo documentos.
Os pesquisadores do Google alertam que o malware SPICA foi usado apenas em ataques direcionados e limitados. No entanto, eles acreditam que o desenvolvimento e uso do malware ainda estão em andamento.
O Google tomou medidas para bloquear a campanha de malware do Cold River, adicionando todos os sites, domínios e arquivos identificados ao seu serviço de Navegação Segura, a fim de proteger os usuários contra esses ataques.
Essa descoberta do Google se soma a uma série de atividades anteriores do grupo Cold River, incluindo uma operação de invasão e vazamento que resultou no roubo e divulgação de e-mails e documentos de proeminentes defensores do Brexit no Reino Unido.
✨ Curtiu este conteúdo?
O GDiscovery está aqui todos os dias trazendo informações confiáveis e independentes sobre o universo Google - e isso só é possível com o apoio de pessoas como você. 🙌
Com apenas R$ 5 por mês, você ajuda a manter este trabalho no ar e leva informação de qualidade para ainda mais gente!
