Зловреден софтуер LOSTKEYS
Свързаната с Русия хакерска група, известна като COLDRIVER, разшири инструментариума си, надхвърляйки традиционните фишинг кампании за идентифициране на потребители. Наскоро групата беше забелязана да внедрява нов щам на зловреден софтуер, наречен LOSTKEYS, в целенасочена шпионска кампания. Това е вторият персонализиран зловреден софтуер, свързан с COLDRIVER, след SPICA . Проследяван също под псевдоними като Callisto, Star Blizzard и UNC4057, COLDRIVER е известен с кражба на идентифициращи потребителски данни, отклоняване на имейли и събиране на данни от списъка с контакти. Сега нейният наръчник включва селективно внедряване на зловреден софтуер за достъп до системни файлове и данни.
Съдържание
Разкрита е LOSTKEYS: Скрита и целенасочена заплаха
LOSTKEYS е проектиран за скрито извличане на чувствителна информация, включително файлове от специфични директории, работещи процеси и системни данни. Той е бил внедрен в операции през януари, март и април 2025 г. Целите включват настоящи и бивши съветници на западни правителства и военни, журналисти, мозъчни тръстове, неправителствени организации и лица, свързани с Украйна. Забележително е, че зловредният софтуер изглежда се внедрява избирателно, като се набляга на използването му в силно насочени атаки.
Социално инженерство 2.0: Връзката ClickFix
Веригата на заразяване започва с фалшив CAPTCHA код, хостван на уебсайт-примамка. Жертвите са подлъгани да отворят диалоговия прозорец „Изпълнение“ на Windows и да поставят PowerShell команда, копирана в клипборда им – метод, известен като ClickFix. Тази команда извлича програма за изтегляне от втори етап от отдалечен сървър, която след това доставя PowerShell скрипт от трети етап. Този скрипт изпълнява LOSTKEYS на хоста, като същевременно избягва откриване във виртуални среди.
Пренасочен зловреден софтуер или ранно тестване?
Изследователи по сигурността откриха проби от LOSTKEYS, датиращи от декември 2023 г., които имитират двоични файлове от Maltego, платформа за разследвания с отворен код. Все още не е ясно дали това са ранни тестови версии или несвързани употреби на зловредния софтуер преди потвърденото му внедряване през 2025 г.
По-широкото приемане и вредният обхват на ClickFix
Техниката ClickFix набира популярност сред различни злонамерени лица за разпространение на зловреден софтуер. Два забележителни примера включват:
- Банковият троянски кон Lampion : Доставя се чрез фишинг имейли с ZIP прикачени файлове. Вътре HTML файл пренасочва жертвите към фалшива CAPTCHA страница с инструкции на ClickFix, инициирайки многоетапна инфекция, насочена към португалоговорящи сектори като правителство, финанси и транспорт.
- Atomic Stealer за macOS : В комбинация с тактика, наречена EtherHiding, при която договорите на Binance Smart Chain (BSC) крият полезни товари. Жертвите, които кликнат върху „Аз не съм робот“, несъзнателно задействат Base64 команда, която след това се изпълнява в терминала, за да изтегли и изпълни подписан двоичен файл Mach-O, потвърден като Atomic Stealer.
MacReaper: Широко разпространена кампания с легитимна експлоатация на уебсайтове
По-нататъшно разследване свързва кампанията Atomic Stealer с мащабна атака тип „watering hole“, наречена MacReaper. Близо 2800 легитимни уебсайта бяха компрометирани, за да показват фалшиви CAPTCHA подкани. Тези атаки използваха обфуциран JavaScript, iframe-ове на цял екран и инфраструктура, базирана на блокчейн, за да избегнат откриването и да увеличат максимално инфекциите.
