برنامج LOSTKEYS الخبيث
وسّعت مجموعة التهديدات المرتبطة بروسيا، المعروفة باسم COLDRIVER، نطاق أدواتها، متجاوزةً حملات التصيد الاحتيالي التقليدية لبيانات الاعتماد. مؤخرًا، رُصدت المجموعة وهي تنشر سلالة جديدة من البرامج الضارة تُسمى LOSTKEYS في حملة تجسس مُستهدفة. يُمثل هذا ثاني برنامج ضار مُخصص مرتبط بـ COLDRIVER، بعد SPICA . يُتتبع COLDRIVER أيضًا تحت أسماء مستعارة مثل Callisto و Star Blizzard وUNC4057، وهو معروف بسرقة بيانات الاعتماد، واستخراج رسائل البريد الإلكتروني، وجمع قوائم جهات الاتصال. الآن، تتضمن أساليبه نشر برامج ضارة انتقائية للوصول إلى ملفات النظام والبيانات.
جدول المحتويات
تم الكشف عن LOSTKEYS: تهديد خفي ومستهدف
صُمم برنامج LOSTKEYS لاستخراج معلومات حساسة خلسةً، بما في ذلك ملفات من مجلدات محددة، وعمليات جارية، وتفاصيل النظام. وقد استُخدم في عمليات خلال يناير ومارس وأبريل 2025. وتشمل الأهداف مستشارين حاليين وسابقين لحكومات وجيوش غربية، وصحفيين، ومراكز أبحاث، ومنظمات غير حكومية، وأفرادًا مرتبطين بأوكرانيا. والجدير بالذكر أن البرنامج الخبيث يبدو أنه يُستخدم بشكل انتقائي، مما يُركز على استخدامه في هجمات مُستهدفة بدقة.
الهندسة الاجتماعية 2.0: اتصال ClickFix
تبدأ سلسلة العدوى بمطالبة CAPTCHA زائفة مُستضافة على موقع ويب وهمي. يُخدع الضحايا لفتح نافذة تشغيل Windows ولصق أمر PowerShell منسوخ إلى الحافظة - وهي طريقة تُعرف باسم ClickFix. يقوم هذا الأمر بجلب أداة تنزيل من المرحلة الثانية من خادم بعيد، والتي بدورها تُرسل نصًا برمجيًا من PowerShell من المرحلة الثالثة. يُنفذ هذا النص البرمجي LOSTKEYS على المضيف مع تجنب الكشف في البيئات الافتراضية.
إعادة استخدام البرمجيات الخبيثة أو الاختبار المبكر؟
اكتشف باحثو الأمن عيناتٍ من برمجية LOSTKEYS تعود إلى ديسمبر 2023، تحاكي ملفاتٍ ثنائية من Maltego، وهي منصة تحقيقات مفتوحة المصدر. ولا يزال من غير الواضح ما إذا كانت هذه نسخًا تجريبية أولية أم استخداماتٍ غير ذات صلةٍ بالبرمجية الخبيثة قبل نشرها المؤكد في عام 2025.
انتشار واسع النطاق لـ ClickFix ووصوله المؤذي
تكتسب تقنية ClickFix شعبية متزايدة بين مختلف الجهات الفاعلة في مجال توزيع البرامج الضارة. ومن الأمثلة البارزة على ذلك:
- حصان طروادة مصرفي لامبيون : يُرسَل عبر رسائل تصيد احتيالي عبر البريد الإلكتروني مرفقة بملفات ZIP. بداخلها، يُعيد ملف HTML توجيه الضحايا إلى صفحة CAPTCHA مزيفة تحتوي على تعليمات ClickFix، مما يُطلق عدوى متعددة المراحل تستهدف القطاعات الناطقة بالبرتغالية، مثل الحكومة والقطاع المالي وقطاع النقل.
MacReaper: حملة واسعة النطاق لاستغلال مواقع الويب بشكل مشروع
ربطت تحقيقات إضافية حملة Atomic Stealer بهجوم واسع النطاق على مواقع إلكترونية تُعرف باسم MacReaper. تم اختراق ما يقرب من 2800 موقع إلكتروني شرعي لعرض مطالبات CAPTCHA مزيفة. استخدمت هذه الهجمات لغة JavaScript مشوشة، وإطارات مضمنة (iframes) بملء الشاشة، وبنية تحتية قائمة على تقنية البلوك تشين لتجنب الكشف وزيادة انتشار العدوى.
