Κακόβουλο λογισμικό LOSTKEYS
Ο απειλητικός παράγοντας που συνδέεται με τη Ρωσία, γνωστός ως COLDRIVER, έχει επεκτείνει την εργαλειοθήκη του, ξεπερνώντας τις παραδοσιακές εκστρατείες ηλεκτρονικού "ψαρέματος" (phishing) μέσω διαπιστευτηρίων. Πρόσφατα, η ομάδα εντοπίστηκε να αναπτύσσει ένα νέο στέλεχος κακόβουλου λογισμικού που ονομάζεται LOSTKEYS σε μια στοχευμένη εκστρατεία κατασκοπείας. Αυτό σηματοδοτεί το δεύτερο προσαρμοσμένο κακόβουλο λογισμικό που συνδέεται με το COLDRIVER, μετά το SPICA . Επίσης, παρακολουθείται με ψευδώνυμα όπως Callisto, Star Blizzard και UNC4057, το COLDRIVER είναι διαβόητο για την κλοπή διαπιστευτηρίων, την αφαίρεση email και τη συλλογή λιστών επαφών. Τώρα, το εγχειρίδιό του περιλαμβάνει επιλεκτική ανάπτυξη κακόβουλου λογισμικού για πρόσβαση σε αρχεία και δεδομένα συστήματος.
Πίνακας περιεχομένων
Αποκάλυψη LOSTKEYS: Μια κρυφή και στοχευμένη απειλή
Το LOSTKEYS έχει σχεδιαστεί για να αποσπά κρυφά ευαίσθητες πληροφορίες, συμπεριλαμβανομένων αρχείων από συγκεκριμένους καταλόγους, διεργασίες που εκτελούνται και λεπτομέρειες συστήματος. Έχει αναπτυχθεί σε επιχειρήσεις κατά τη διάρκεια του Ιανουαρίου, του Μαρτίου και του Απριλίου 2025. Στους στόχους περιλαμβάνονται νυν και πρώην σύμβουλοι δυτικών κυβερνήσεων και στρατών, δημοσιογράφοι, ομάδες προβληματισμού, ΜΚΟ και άτομα που σχετίζονται με την Ουκρανία. Αξίζει να σημειωθεί ότι το κακόβουλο λογισμικό φαίνεται να αναπτύσσεται επιλεκτικά, με έμφαση στη χρήση του σε ιδιαίτερα στοχευμένες επιθέσεις.
Κοινωνική Μηχανική 2.0: Η σύνδεση ClickFix
Η αλυσίδα μόλυνσης ξεκινά με μια ψεύτικη προτροπή CAPTCHA που φιλοξενείται σε έναν ιστότοπο-δόλωμα. Τα θύματα εξαπατώνται ώστε να ανοίξουν το παράθυρο διαλόγου Εκτέλεση των Windows και να επικολλήσουν μια εντολή PowerShell που έχει αντιγραφεί στο πρόχειρό τους—μια μέθοδος γνωστή ως ClickFix. Αυτή η εντολή ανακτά ένα πρόγραμμα λήψης δεύτερου σταδίου από έναν απομακρυσμένο διακομιστή, ο οποίος στη συνέχεια παρέχει ένα σενάριο PowerShell τρίτου σταδίου. Αυτό το σενάριο εκτελεί την εντολή LOSTKEYS στον κεντρικό υπολογιστή, ενώ αποφεύγει την ανίχνευση σε εικονικά περιβάλλοντα.
Επαναχρησιμοποιούμενο κακόβουλο λογισμικό ή πρώιμες δοκιμές;
Ερευνητές ασφαλείας ανακάλυψαν δείγματα LOSTKEYS που χρονολογούνται από τον Δεκέμβριο του 2023 και μιμούνταν δυαδικά αρχεία από το Maltego, μια πλατφόρμα έρευνας ανοιχτού κώδικα. Δεν είναι ακόμη σαφές εάν επρόκειτο για πρώιμες δοκιμαστικές εκδόσεις ή για άσχετες χρήσεις του κακόβουλου λογισμικού πριν από την επιβεβαιωμένη ανάπτυξή του το 2025.
Η ευρύτερη υιοθέτηση και η επιβλαβής προσέγγιση του ClickFix
Η τεχνική ClickFix κερδίζει δημοτικότητα μεταξύ διαφόρων απειλητικών φορέων για τη διανομή κακόβουλου λογισμικού. Δύο αξιοσημείωτα παραδείγματα περιλαμβάνουν:
- Lampion Banking Trojan : Παραδίδεται μέσω email ηλεκτρονικού "ψαρέματος" (phishing) με συνημμένα ZIP. Στο εσωτερικό, ένα αρχείο HTML ανακατευθύνει τα θύματα σε μια ψεύτικη σελίδα CAPTCHA με οδηγίες ClickFix, ξεκινώντας μια πολυσταδιακή μόλυνση που στοχεύει πορτογαλόφωνους τομείς όπως η κυβέρνηση, τα χρηματοοικονομικά και οι μεταφορές.
MacReaper: Μια εκτεταμένη καμπάνια με νόμιμη εκμετάλλευση ιστοσελίδων
Περαιτέρω έρευνα έχει συνδέσει την εκστρατεία Atomic Stealer με μια μεγάλης κλίμακας επίθεση watering hole που ονομάζεται MacReaper. Σχεδόν 2.800 νόμιμοι ιστότοποι παραβιάστηκαν για να εμφανίσουν ψεύτικες προτροπές CAPTCHA. Αυτές οι επιθέσεις χρησιμοποίησαν ασαφή JavaScript, iframes πλήρους οθόνης και υποδομή βασισμένη σε blockchain για να αποφύγουν την ανίχνευση και να μεγιστοποιήσουν τις μολύνσεις.
