LOSTKEYS-haittaohjelma
Venäjä-kytköksissä oleva uhkatoimija nimeltä COLDRIVER on laajentanut työkalupakkiaan ja siirtynyt perinteisten tunnistetietojen kalastelukampanjoiden ulkopuolelle. Äskettäin ryhmän havaittiin käyttävän uutta haittaohjelmakantaa nimeltä LOSTKEYS kohdennetussa vakoilukampanjassa. Tämä on toinen COLDRIVERiin linkitetty mukautettu haittaohjelma SPICA:n jälkeen. Myös aliasnimellä Callisto, Star Blizzard ja UNC4057 jäljitetty COLDRIVER on pahamaineinen tunnistetietojen varastamisesta, sähköpostien vuotamisesta ja yhteystietoluetteloiden keräämisestä. Nyt sen toimintasuunnitelmaan kuuluu valikoiva haittaohjelmien käyttöönotto järjestelmätiedostoihin ja -tietoihin pääsyä varten.
Sisällysluettelo
LOSTKEYS paljastettu: salakavala ja kohdennettu uhka
LOSTKEYS on suunniteltu salaa varastamaan arkaluonteisia tietoja, kuten tiedostoja tietyistä hakemistoista, käynnissä olevia prosesseja ja järjestelmätietoja. Sitä on käytetty operaatioissa tammi-, maalis- ja huhtikuussa 2025. Kohteisiin kuuluvat länsimaiden hallitusten ja armeijoiden nykyiset ja entiset neuvonantajat, toimittajat, ajatushautomot, kansalaisjärjestöt ja Ukrainaan liittyvät henkilöt. Huomionarvoista on, että haittaohjelmaa käytetään valikoidusti, mikä korostaa sen käyttöä erittäin kohdennetuissa hyökkäyksissä.
Sosiaalinen manipulointi 2.0: ClickFix-yhteys
Tartuntaketju alkaa väärennetyllä CAPTCHA-kehotteella, jota ylläpidetään houkutussivustolla. Uhrit huijataan avaamaan Windowsin Suorita-valintaikkuna ja liittämään leikepöydälle kopioitu PowerShell-komento – menetelmä tunnetaan nimellä ClickFix. Tämä komento hakee toisen vaiheen latausohjelman etäpalvelimelta, joka sitten toimittaa kolmannen vaiheen PowerShell-skriptin. Tämä skripti suorittaa LOSTKEYS-komennon isännässä välttäen havaitsemisen virtuaaliympäristöissä.
Uudelleenkäytetyt haittaohjelmat vai varhainen testaus?
Tietoturvatutkijat löysivät joulukuulta 2023 peräisin olevia LOSTKEYS-näytteitä, jotka matkivat avoimen lähdekoodin tutkimusalustan Maltegon binääritiedostoja. On edelleen epäselvää, olivatko nämä haittaohjelman varhaisia testiversioita vai todellisia käyttötarkoituksia ennen sen vahvistettua käyttöönottoa vuonna 2025.
ClickFixin laajempi käyttöönotto ja haitallinen ulottuvuus
ClickFix-tekniikka on kasvattanut suosiotaan useiden haittaohjelmien levittämiseen tarkoitettujen uhkatoimijoiden keskuudessa. Kaksi huomionarvoista esimerkkiä ovat:
- Lampion Banking -troijalainen : Lähetetään ZIP-liitteillä varustettujen tietojenkalasteluviestien kautta. Sisällä HTML-tiedosto ohjaa uhrit väärennetylle CAPTCHA-sivulle, jossa on ClickFix-ohjeet, käynnistäen monivaiheisen tartunnan, joka kohdistuu portugalinkielisiin sektoreihin, kuten hallintoon, rahoitusalaan ja liikenteeseen.
- Atomic Stealer macOS:lle : Yhdessä EtherHiding-nimisen taktiikan kanssa Binance Smart Chain (BSC) piilottaa hyötykuormia sopimuksella. Uhrit, jotka napsauttavat "En ole robotti", käynnistävät tietämättään Base64-komennon, joka sitten suoritetaan Pääte-sovelluksessa lataamaan ja suorittamaan allekirjoitetun Mach-O-binääritiedoston, joka on vahvistettu Atomic Stealeriksi.
MacReaper: Laajalle levinnyt kampanja, jossa verkkosivustoja hyödynnetään laillisesti
Lisätutkimukset ovat yhdistäneet Atomic Stealer -kampanjan laajaan MacReaper-nimiseen hyökkäykseen. Lähes 2 800 laillista verkkosivustoa vaarannettiin näyttämään väärennettyjä CAPTCHA-kehotteita. Näissä hyökkäyksissä käytettiin hämärrettyä JavaScriptiä, koko näytön iframeja ja lohkoketjupohjaista infrastruktuuria havaitsemisen välttämiseksi ja tartuntojen maksimoimiseksi.
