LOSTKEYS programari maliciós
L'actor d'amenaces vinculat a Rússia conegut com a COLDRIVER ha ampliat el seu conjunt d'eines, anant més enllà de les campanyes tradicionals de phishing de credencials. Recentment, es va veure que el grup implementava una nova soca de programari maliciós anomenada LOSTKEYS en una campanya d'espionatge dirigida. Aquest és el segon programari maliciós personalitzat vinculat a COLDRIVER, després de SPICA . També rastrejat sota àlies com Callisto, Star Blizzard i UNC4057, COLDRIVER és famós pel robatori de credencials, l'exfiltració de correu electrònic i la recopilació de llistes de contactes. Ara, el seu manual inclou la implementació selectiva de programari maliciós per accedir a fitxers i dades del sistema.
Taula de continguts
LOSTKEYS presentat: una amenaça furtiva i dirigida
LOSTKEYS està dissenyat per exfiltrar furtivament informació sensible, inclosos fitxers de directoris específics, processos en execució i detalls del sistema. S'ha desplegat en operacions durant el gener, març i abril de 2025. Els objectius inclouen assessors actuals i antics de governs i exèrcits occidentals, periodistes, grups de reflexió, ONG i individus associats amb Ucraïna. Cal destacar que el programari maliciós sembla desplegar-se selectivament, emfatitzant el seu ús en atacs altament dirigits.
Enginyeria social 2.0: La connexió ClickFix
La cadena d'infecció comença amb un CAPTCHA fals allotjat en un lloc web esquer. Les víctimes són enganyades perquè obrin el quadre de diàleg Executa de Windows i enganxin una ordre de PowerShell copiada al porta-retalls, un mètode conegut com a ClickFix. Aquesta ordre obté un descarregador de segona etapa d'un servidor remot, que després lliura un script de PowerShell de tercera etapa. Aquest script executa LOSTKEYS a l'amfitrió mentre evita la detecció en entorns virtuals.
Programari maliciós reutilitzat o proves primerenques?
Investigadors de seguretat van descobrir mostres de LOSTKEYS que dataven del desembre del 2023 i que imitaven binaris de Maltego, una plataforma d'investigació de codi obert. Encara no està clar si es tractava de versions de prova inicials o usos no relacionats del programari maliciós abans del seu desplegament confirmat el 2025.
L’adopció més àmplia i l’abast perjudicial de ClickFix
La tècnica ClickFix està guanyant popularitat entre diversos actors d'amenaces per a la distribució de programari maliciós. Dos exemples destacats inclouen:
- Troià bancari Lampion : Es lliura a través de correus electrònics de suplantació d'identitat amb fitxers adjunts ZIP. A l'interior, un fitxer HTML redirigeix les víctimes a una pàgina CAPTCHA falsa amb instruccions de ClickFix, iniciant una infecció en diverses etapes dirigida a sectors de parla portuguesa com el govern, les finances i el transport.
- Atomic Stealer per a macOS : Combinat amb una tàctica anomenada EtherHiding, on els contractes de Binance Smart Chain (BSC) amaguen càrregues útils. Les víctimes que fan clic a "No sóc un robot" sense saber-ho activen una ordre Base64, que després s'executa al Terminal per descarregar i executar un binari Mach-O signat confirmat com a Atomic Stealer.
MacReaper: una campanya generalitzada amb explotació legítima de llocs web
Investigacions posteriors han vinculat la campanya Atomic Stealer amb un atac a gran escala anomenat MacReaper. Gairebé 2.800 llocs web legítims van ser compromesos per mostrar indicacions CAPTCHA falses. Aquests atacs utilitzaven JavaScript ofuscat, iframes de pantalla completa i infraestructura basada en blockcha per evadir la detecció i maximitzar les infeccions.
