Google alerta de un cambio en las campañas de COLDRIVER: el uso de un pdf como señuelo para instalar puertas traseras
Publicado el - Actualizado
2 min lectura
MADRID, 18 (Portaltic/EP)
El grupo de análisis de amenazas (TAG, por sus siglas en inglés) de Google ha alertado de un cambio en la actuación de COLDRIVER, un grupo de ciberespionaje ruso, ya que a sus campañas de 'phishing' contra actores de alto nivel se le unen ahora campañas de distribución de 'malware' con archivos pdf como señuelo.
COLDRIVER, también conocido como UNC4057, Star Blizzard y Callisto, es un grupo de amenazas vinculado a al Gobierno ruso que dirige sus ataques contra actores de alto nivel, como políticos, periodistas o personal de ONG.
En sus campañas de 'phishing' se hacen pasar por expertos en determinadas materias o personas vinculadas de alguna forma con las víctimas, para generar confianza y conseguir las claves de acceso a sus cuentas para robar datos.
Este proceder malicioso se ha ampliado con otro tipo de campañas, detectadas por primera vez en noviembre de 2022, que utilizan una cuenta de correo electrónico falsificada para distribuir 'malware' con el que instalar una puerta trasera en el equipo de la víctima, para tener vía libre a sus datos, como explican en el blog de Google.
Según detallan desde TAG, esta nueva campaña simula el envío de un artículo de opinión u otro tipo de contenido similar para su publicación. Se envía en formato pdf, de tipo benigno, que al abrirlo contiene un texto cifrado.
De esta forma, cuando la víctima indica que no puede leer el artículo, la cuenta de correo falsificada facilita un enlace para, supuestamente, descifrarlo. Lo que hace en realidad es mostrar un documento sueño e instalar en segundo plano una puerta trasera, conocida como SPICA.
El uso de SPICA parece ser reciente, ya que el equipo de Google lo empezó a observar en septiembre de 2023, pero no descartan que en realidad formara parte de la campaña ya en noviembre de año anterior.
Tras el descubrimiento, Google agregó los sitios web, dominios y archivos identificados en estas campañas a la herramienta 'Navegación segura' de Chrome, con la que los usuarios reciben alertas sobre "software malicioso, extensiones peligrosas, suplantación de identidad o sitios web" incluidos en la lista de "sitios potencialmente no seguros" de la compañía.