Google виявила новий вірус РФ, який зламує політиків та активістів: як ним заражаються

Попередження Google про хакерів РФ з'явилось у блозі Групи розвідки загроз компанії.

Кіберфахівці написали, що ідеться про шкідливий код, створений російським хакерським угрупуванням COLDRIVER, яке також ховається за іменами UNC4057, Star Blizzard та Callisto. Коли вірус заражає систему, то у найлегшому випадку він отримує доступ до особистих даних користувача — до його контактів. Крім того, були випадки, коди росіяни отримували доступ до файлової системи, пояснюється у блозі. Випадки зараження виявили тричі у 2025 році: у січні, березні та квітні. Жертвами ставали політики та урядовці країн-членів НАТО та України, співробітники громадських організацій, колишні працівники розвідки й дипломати.

"Ми вважаємо, що основною метою операцій COLDRIVER є збір розвідувальних даних на підтримку стратегічних інтересів Росії. У невеликій кількості випадків групу пов'язували з кампаніями з витоку інформації, спрямованими проти посадовців Великої Британії та неурядової організації", — ідеться у блозі кіберфахівців.

Google попередила, що мета COLDRIVER — отримати доступ до контактів цілі та до файлів на жорсткому диску.

Хакери РФ — деталі

У блозі Google детально пояснюється, як відбувається зараження. Наголошується, що хакери РФ при цьому використовують підроблені CAPTCHA, а шматки шкідливого коду можуть "удавати", що вони є частинами OSINT-програми для збору даних Maltego.

Як відбувається зараження вірусом LOSTKEYS:

1. людину перенаправляють на фальшивий сайт, на якому начебто розміщене щось корисне — файл, сервіс, форма входу;
2. на сайті слід пройти процедуру підтвердження безпеки — і для цього слід натиснути на CAPTCHA;
3. у пам`ять системи завантажується шкідливий код (тобто наче імітується команда Ctrl+C);
4. поруч з "капчею" користувач бачить інструкцію, що потрібно робити далі — слід викликати командний рядок через Win+R, далі — комбінація Ctrl+V і натиснути Enter;
5. після цього запускається інструмент адміністрування PowerShell, який виконує шкідливий код, застерегли фахівці Google.

Компанія також пояснила, як захиститись від вірусу. Ідеться про людей, які можуть стати цілями для російських хакерів. Для них пропонують три варіанти захисту. По-перше, зареєструватися у "Програмі розширеного захисту". По-друге, увімкнути покращений безпечний перегляд Google. По-третє, оновити програми на пристроях.

Зазначимо, у вересні 2024 року на порталі Міністерства юстиції США розповіли про російських хакерів, за "голови" яких обіцяють 10 млн дол. Міністерство заявило, що ідеться про трьох офіцерів ГУР, які влаштували кібератаку на комп'ютери уряду України за кілька днів до вторгнення у 2022 році.

Нагадуємо, в грудні 2024 року російські хакери зламали реєстри Міністерства юстиції України, через що зник доступ до деяких державних реєстрів.