LOSTKEYS pahavara

Venemaaga seotud ohurühmitus COLDRIVER on laiendanud oma tööriistakomplekti, liikudes traditsioonilistest volituste andmepüügikampaaniatest kaugemale. Hiljuti märgati, et rühmitus kasutab sihipärases spionaažikampaanias uut pahavara tüve nimega LOSTKEYS. See on pärast SPICA-d teine COLDRIVERiga seotud kohandatud pahavara. COLDRIVER, mida jälgitakse ka varjunimede nagu Callisto, Star Blizzard ja UNC4057 all, on kurikuulus volituste varguse, e-posti andmete hankimise ja kontaktide nimekirjade kogumise poolest. Nüüd hõlmab nende strateegia valikulist pahavara juurutamist süsteemifailidele ja andmetele juurdepääsuks.

LOSTKEYS avalikustatud: salakaval ja sihipärane oht

LOSTKEYS on loodud tundliku teabe, sealhulgas failide kindlatest kataloogidest, töötavate protsesside ja süsteemiandmete salajaseks väljavõtmiseks. Seda kasutati operatsioonides jaanuaris, märtsis ja aprillis 2025. Sihtmärkide hulka kuuluvad lääneriikide valitsuste ja sõjaväe praegused ja endised nõunikud, ajakirjanikud, mõttekojad, vabaühendused ja Ukrainaga seotud isikud. Tähelepanuväärne on see, et pahavara näib olevat kasutusele võetud valikuliselt, rõhutades selle kasutamist väga suunatud rünnakutes.

Sotsiaalne manipuleerimine 2.0: ClickFixi ühendus

Nakatumise ahel algab võltsitud CAPTCHA viibaga, mis asub peibutusveebisaidil. Ohvreid meelitatakse avama Windowsi käivitusdialoogi ja kleepima lõikelauale kopeeritud PowerShelli käsk – meetod, mida tuntakse kui ClickFix. See käsk laadib kaugserverist alla teise etapi allalaadija, mis seejärel edastab kolmanda etapi PowerShelli skripti. See skript käivitab hostis LOSTKEYS-i, vältides samal ajal virtuaalsetes keskkondades tuvastamist.

Taaskasutatud pahavara või varajane testimine?

Turvaeksperdid avastasid LOSTKEYS näidiseid, mis pärinevad 2023. aasta detsembrist ja jäljendasid avatud lähtekoodiga uurimisplatvormi Maltego binaarfaile. Pole veel selge, kas need olid pahavara varased testversioonid või mitteseotud kasutusviisid enne selle kinnitatud juurutamist 2025. aastal.

ClickFixi laiem kasutuselevõtt ja kahjulik ulatus

ClickFixi tehnika on pahavara levitamiseks erinevate ohutegijate seas populaarsust kogumas. Kaks tähelepanuväärset näidet on järgmised:

• Lampion Banking Trooja : Edasi toimetatakse ZIP-manustega andmepüügimeilide kaudu. HTML-fail suunab ohvrid võltsitud CAPTCHA lehele ClickFixi juhistega, käivitades mitmeastmelise nakatumise, mis on suunatud portugali keelt kõnelevatele sektoritele, nagu valitsus, rahandus ja transport.
• Atomic Stealer macOS-ile : Koos taktikaga nimega EtherHiding, kus Binance Smart Chain (BSC) peidab lepingu alusel kasulikke andmeid. Ohvrid, kes klõpsavad nupul „Ma ei ole robot“, käivitavad teadmatult Base64 käsu, mis seejärel käivitatakse terminalis, et alla laadida ja käivitada allkirjastatud Mach-O binaarfail, mis on kinnitatud Atomic Stealeriks.

MacReaper: laialt levinud kampaania seadusliku veebisaidi ärakasutamisega

Edasine uurimine on seostanud Atomic Stealeri kampaaniat ulatusliku pahavararünnakuga nimega MacReaper. Ligi 2800 legitiimset veebisaiti rünnati võltsitud CAPTCHA-viipade kuvamiseks. Need rünnakud kasutasid avastamise vältimiseks ja nakkuste maksimeerimiseks hägustatud JavaScripti, täisekraani iframe'e ja plokiahelapõhist infrastruktuuri.