Google waarschuwt vandaag voor een groep aanvallers die slachtoffers een zogenaamde 'decryptietool' laat downloaden wat in werkelijkheid een backdoor is. Volgens het Amerikaanse techbedrijf gaat het om een vanuit Rusland opererende groep die zich in het verleden vooral met phishingaanvallen bezighield. De groep wordt door Google 'Coldriver' genoemd, maar staat ook bekend als UNC4057, Star Blizzard en Callisto.

De groep doet zich volgens Google vaak voor als een expert in een bepaald gebied of claimt aan het slachtoffer gelieerd te zijn. Vervolgens wordt er een band opgebouwd, waarna de phishingaanval plaatsvindt. Het gaat dan om een link of document met een link die naar een phishingsite wijst. Bij de aanvallen waarvoor Google nu waarschuwt ontvangen slachtoffers een pdf document. Daarin staat echter onleesbare tekst.

Wanneer slachtoffers reageren en stellen dat ze het document niet kunnen lezen reageert de groep met een link naar een 'decryptietool'. Deze tool is in werkelijkheid een backdoor, maar laat als afleidingsmanoeuvre een echt document zien. Via de backdoor kunnen de aanvallers willekeurige commando's op het systeem uitvoeren, cookies uit Google Chrome, Mozilla Firefox, Opera en Microsoft Edge stelen, bestanden up- en downloaden en naar documenten zoeken. Google heeft de door de groep gebruikte domeinen en bestanden aan de eigen Safe Browsing-dienst toegevoegd, zodat gebruikers van Chrome en andere browsers een waarschuwing te zien krijgen.