Los hackers rusos con vínculos con Kremlin no cesan en la implementación de nuevos métodos para perpetrar ataques con malware. Según reporta Google, el grupo de piratas informáticos identificado como COLDRIVER está utilizando archivos PDF encriptados para infectar a sus objetivos en Ucrania y países de la OTAN.
De acuerdo con el grupo de análisis de amenazas de la firma californiana, los hackers rusos tienen en el punto de mira a blancos de alto perfil. Específicamente, integrantes de organizaciones no gubernamentales e instituciones académicas, y oficiales retirados de la milicia y agencias de inteligencia.
En este caso, el ataque con malware se realiza por intermedio de una campaña de phishing o suplantación de identidad. En su accionar, los hackers rusos se hacen pasar por expertos o personas vinculadas con el campo de experiencia del blanco al que desean atacar. Para ello, utilizan credenciales robadas anteriormente y entablan una comunicación con la nueva víctima.
Una vez logrado esto, el proceso para concretar el ataque con malware es bastante sencillo. Los piratas informáticos envían un documento a sus objetivos, solicitándoles una revisión u opinión sobre su contenido. El archivo en cuestión es un PDF convencional que no despierta mayores sorpresas, aunque al tratar de abrirlo aparece una advertencia de que está encriptado.
Cuando los blancos explican que no pueden abrir el archivo, los hackers rusos les otorgan un enlace para descargar un software dedicado a desencriptar el documento. Como ya se pueden imaginar, el programa es, en realidad, una aplicación maliciosa que engaña a la víctima mostrándole una supuesta versión no encriptada del documento original. Mientras esto sucede, en segundo plano los atacantes explotan una puerta trasera para ganar control sobre el equipo de la víctima.
Hackers rusos usan PDF encriptados como carnada para sus ataques con malware
Google explica que el malware utilizado por los hackers rusos de COLDRIVER en sus ataques ha sido identificado como SPICA. Este sería el primer software malicioso a medida desarrollado y desplegado por el citado grupo de piratas informáticos. Expertos en seguridad indican que se han registrado ataques con esta herramienta desde septiembre pasado, pero la vulnerabilidad explotada data al menos de 2022.
Una vez que los ciberdelincuentes ganan acceso a los ordenadores de las víctimas, pueden ejecutar múltiples operaciones. Desde robar cookies de sesión de múltiples navegadores web (Chrome, Firefox, Edge y Opera), hasta cargar y descargar archivos en su unidad de almacenamiento. A esto se le suman otras opciones como ejecutar comandos de shell arbitrarios, analizar y enumerar los archivos de sistema, y extraer documentos hacia un servidor externo.
Para evitar que estos ataques sigan expandiéndose, Google ha identificado los sitios web y direcciones usadas por los hackers rusos para distribuir el malware. Toda la información ya se ha incluido en el modo de navegación segura de Chrome, mientras que también se ha notificado a los organismos potencialmente afectados. De todos modos, se sabe que los criminales cambian continuamente sus métodos de distribución de amenazas.
Esta no es la primera vez que piratas informáticos vinculados con el Kremlin ponen en el punto de mira a Ucrania y la OTAN. En 2023, sacaron provecho del popular compresor de archivos WinRAR para atacar al gobierno ucraniano y eliminar de forma irreversible gran cantidad de información sensible de sus servidores. Mientras que Microsoft confirmó en 2022 que hackers rusos atentaron contra 40 países aliados con Ucrania en la guerra.