Rabattilbud med flere licenser
Trusseldatabase Malware LOSTKEYS-malware

LOSTKEYS-malware

Med Mezo i Malware
Oversæt til:

Den Rusland-tilknyttede trusselsaktør kendt som COLDRIVER har udvidet sit værktøjssæt og bevæger sig ud over traditionelle phishing-kampagner med legitimationsoplysninger. For nylig blev gruppen set i gang med at implementere en ny malware-stamme kaldet LOSTKEYS i en målrettet spionagekampagne. Dette markerer den anden brugerdefinerede malware, der er knyttet til COLDRIVER, efter SPICA . COLDRIVER, der også spores under aliasser som Callisto, Star Blizzard og UNC4057, er berygtet for legitimationsoplysninger, e-mail-udplyndring og kontaktlistehøstning. Nu inkluderer dens strategi selektiv malware-implementering for at få adgang til systemfiler og data.

LOSTKEYS afsløret: En skjult og målrettet trussel

LOSTKEYS er designet til i hemmelighed at udtømme følsomme oplysninger, herunder filer fra specifikke mapper, kørende processer og systemdetaljer. Det har været implementeret i operationer i januar, marts og april 2025. Målene omfatter nuværende og tidligere rådgivere for vestlige regeringer og militæret, journalister, tænketanke, NGO'er og enkeltpersoner med tilknytning til Ukraine. Det er bemærkelsesværdigt, at malwaren ser ud til at blive implementeret selektivt med vægt på dens anvendelse i meget målrettede angreb.

Social Engineering 2.0: ClickFix-forbindelsen

Infektionskæden starter med en falsk CAPTCHA-prompt, der hostes på et lokkemiddelwebsted. Ofrene bliver narret til at åbne Windows Kør-dialogboksen og indsætte en PowerShell-kommando, der er kopieret til deres udklipsholder – en metode kendt som ClickFix. Denne kommando henter en downloader i andet trin fra en fjernserver, som derefter leverer et PowerShell-script i tredje trin. Dette script udfører LOSTKEYS på værten, mens det undgår detektion i virtuelle miljøer.

Genbrugt malware eller tidlig testning?

Sikkerhedsforskere opdagede LOSTKEYS-prøver fra december 2023, der efterlignede binære filer fra Maltego, en open source-undersøgelsesplatform. Det er stadig uklart, om disse var tidlige testversioner eller uafhængige anvendelser af malwaren før dens bekræftede udrulning i 2025.

ClickFix' bredere anvendelse og skadelige rækkevidde

ClickFix-teknikken vinder popularitet blandt forskellige trusselsaktører til distribution af malware. To bemærkelsesværdige eksempler inkluderer:

  • Lampion Banking Trojan : Leveres via phishing-e-mails med ZIP-vedhæftninger. Indeni omdirigerer en HTML-fil ofrene til en falsk CAPTCHA-side med ClickFix-instruktioner, hvilket starter en flertrinsinfektion, der er rettet mod portugisisktalende sektorer såsom regering, finans og transport.
  • Atomic Stealer til macOS : Kombineret med en taktik kaldet EtherHiding, hvor Binance Smart Chain (BSC)-kontrakter skjuler nyttelast. Ofre, der klikker på 'Jeg er ikke en robot', udløser ubevidst en Base64-kommando, som derefter køres i Terminal for at downloade og udføre en signeret Mach-O-binærfil, der er bekræftet som Atomic Stealer.

    • MacReaper: En udbredt kampagne med legitim udnyttelse af websteder

    Yderligere efterforskning har forbundet Atomic Stealer-kampagnen med et storstilet "watering hole"-angreb kaldet MacReaper. Næsten 2.800 legitime websteder blev kompromitteret og viste falske CAPTCHA-prompter. Disse angreb brugte forvirret JavaScript, fuldskærms-iframes og blockchain-baseret infrastruktur til at undgå opdagelse og maksimere infektioner.

    Trending

    Mest sete

    Indlæser...