Ztracené klíče Malware
S Ruskem propojená phishingová skupina COLDRIVER rozšířila svou sadu nástrojů a přesahuje rámec tradičních phishingových kampaní zaměřených na přihlašovací údaje. Nedávno byla skupina spatřena při nasazení nového kmene malwaru s názvem LOSTKEYS v cílené špionážní kampani. Jedná se o druhý malware na míru spojený s COLDRIVER, po SPICA . COLDRIVER, sledovaný také pod aliasy jako Callisto, Star Blizzard a UNC4057, je nechvalně známý krádeží přihlašovacích údajů, exfiltrací e-mailů a sběrem kontaktů. Nyní zahrnuje selektivní nasazení malwaru pro přístup k systémovým souborům a datům.
Obsah
Odhalení LOSTKEYS: Nenápadná a cílená hrozba
Malware LOSTKEYS je navržen tak, aby nenápadně získával citlivé informace, včetně souborů z konkrétních adresářů, spuštěných procesů a systémových detailů. Byl nasazen v operacích v lednu, březnu a dubnu 2025. Mezi cíle patří současní i bývalí poradci západních vlád a armád, novináři, think tanky, nevládní organizace a jednotlivci spojení s Ukrajinou. Je pozoruhodné, že malware je zřejmě nasazován selektivně, s důrazem na jeho použití ve vysoce cílených útocích.
Sociální inženýrství 2.0: Spojení ClickFix
Řetězec infekce začíná falešným výzvou CAPTCHA hostovaným na návnadovém webu. Oběti jsou podvedeny k otevření dialogového okna Spustit ve Windows a vložení příkazu PowerShellu zkopírovaného do schránky – metoda známá jako ClickFix. Tento příkaz načte ze vzdáleného serveru program pro stahování druhé fáze, který poté doručí skript PowerShellu třetí fáze. Tento skript spouští příkaz LOSTKEYS na hostiteli a zároveň se vyhýbá detekci ve virtuálních prostředích.
Znovu použitý malware nebo rané testování?
Bezpečnostní výzkumníci objevili vzorky malwaru LOSTKEYS z prosince 2023, které napodobovaly binární soubory z Maltego, open-source investigativní platformy. Stále není jasné, zda se jednalo o rané testovací verze, nebo o nesouvisející použití malwaru před jeho potvrzeným nasazením v roce 2025.
Širší přijetí a škodlivý dosah ClickFixu
Technika ClickFix získává na popularitě mezi různými aktéry kybernetických útoků, kteří se zabývají distribucí malwaru. Mezi dva významné příklady patří:
- Bankovní trojan Lampion : Doručován prostřednictvím phishingových e-mailů s přílohami ZIP. Uvnitř HTML soubor přesměruje oběti na falešnou CAPTCHA stránku s instrukcemi ClickFix, čímž spouští vícestupňovou infekci cílenou na portugalsky mluvící sektory, jako je vláda, finance a doprava.
- Atomic Stealer pro macOS : Ve spojení s taktikou zvanou EtherHiding, kde kontrakty Binance Smart Chain (BSC) skrývají datové části. Oběti, které kliknou na „Nejsem robot“, nevědomky spustí příkaz Base64, který se poté spustí v Terminálu a stáhne a spustí podepsaný binární soubor Mach-O potvrzený jako Atomic Stealer.
MacReaper: Rozsáhlá kampaň s legitimním zneužíváním webových stránek
Další vyšetřování spojilo kampaň Atomic Stealer s rozsáhlým útokem typu watering hole s názvem MacReaper. Téměř 2 800 legitimních webových stránek bylo napadeno, aby zobrazovaly falešné výzvy CAPTCHA. Tyto útoky využívaly obfusovaný JavaScript, celoobrazovkové prvky iframe a infrastrukturu založenou na blockchainu, aby se vyhnuly detekci a maximalizovaly počet infekcí.
