LOSTKEYS मैलवेयर

रूस से जुड़े खतरे वाले अभिनेता कोल्ड्रिवर ने पारंपरिक क्रेडेंशियल फ़िशिंग अभियानों से आगे बढ़कर अपने टूलकिट का विस्तार किया है। हाल ही में, समूह को लक्षित जासूसी अभियान में लॉस्टकीज़ नामक एक नए मैलवेयर स्ट्रेन को तैनात करते हुए देखा गया था। यह SPICA के बाद कोल्ड्रिवर से जुड़ा दूसरा कस्टम मैलवेयर है। कॉलिस्टो, स्टार ब्लिज़र्ड और UNC4057 जैसे उपनामों के तहत भी ट्रैक किया गया, कोल्ड्रिवर क्रेडेंशियल चोरी, ईमेल एक्सफ़िल्टरेशन और संपर्क सूची हार्वेस्टिंग के लिए कुख्यात है। अब, इसकी प्लेबुक में सिस्टम फ़ाइलों और डेटा तक पहुँचने के लिए चुनिंदा मैलवेयर परिनियोजन शामिल है।

लॉस्टकीज़ का अनावरण: एक गुप्त और लक्षित ख़तरा

लॉस्टकीज़ को गोपनीय तरीके से संवेदनशील जानकारी निकालने के लिए डिज़ाइन किया गया है, जिसमें विशिष्ट निर्देशिकाओं से फ़ाइलें, चल रही प्रक्रियाएँ और सिस्टम विवरण शामिल हैं। इसे जनवरी, मार्च और अप्रैल 2025 के दौरान ऑपरेशन में तैनात किया गया है। इसके निशाने पर पश्चिमी सरकारों और सेनाओं के वर्तमान और पूर्व सलाहकार, पत्रकार, थिंक टैंक, एनजीओ और यूक्रेन से जुड़े व्यक्ति शामिल हैं। उल्लेखनीय रूप से, मैलवेयर को चुनिंदा रूप से तैनात किया गया है, जो अत्यधिक लक्षित हमलों में इसके उपयोग पर जोर देता है।

सोशल इंजीनियरिंग 2.0: क्लिकफिक्स कनेक्शन

संक्रमण की श्रृंखला एक फर्जी वेबसाइट पर होस्ट किए गए नकली कैप्चा प्रॉम्प्ट से शुरू होती है। पीड़ितों को विंडोज रन डायलॉग खोलने और उनके क्लिपबोर्ड पर कॉपी किए गए पॉवरशेल कमांड को चिपकाने के लिए धोखा दिया जाता है - एक विधि जिसे क्लिकफिक्स के रूप में जाना जाता है। यह कमांड रिमोट सर्वर से दूसरे चरण का डाउनलोडर लाता है, जो फिर तीसरे चरण की पॉवरशेल स्क्रिप्ट डिलीवर करता है। यह स्क्रिप्ट वर्चुअल वातावरण में पता लगाने से बचते हुए होस्ट पर LOSTKEYS निष्पादित करती है।

पुनःप्रयोजन मैलवेयर या प्रारंभिक परीक्षण?

सुरक्षा शोधकर्ताओं ने दिसंबर 2023 तक के LOSTKEYS नमूने खोजे जो माल्टेगो, एक ओपन-सोर्स जांच प्लेटफ़ॉर्म से बाइनरी की नकल करते थे। यह अभी भी स्पष्ट नहीं है कि ये 2025 में इसकी पुष्टि की गई तैनाती से पहले मैलवेयर के शुरुआती परीक्षण संस्करण थे या असंबंधित उपयोग थे।

ClickFix का व्यापक रूप से अपनाया जाना और हानिकारक पहुंच

क्लिकफ़िक्स तकनीक मैलवेयर वितरण के लिए विभिन्न ख़तरा पैदा करने वाले लोगों के बीच लोकप्रिय हो रही है। इसके दो उल्लेखनीय उदाहरण हैं:

• लैम्पियन बैंकिंग ट्रोजन : ज़िप अटैचमेंट के साथ फ़िशिंग ईमेल के ज़रिए डिलीवर किया जाता है। इसके अंदर, एक HTML फ़ाइल पीड़ितों को क्लिकफ़िक्स निर्देशों के साथ एक नकली कैप्चा पेज पर रीडायरेक्ट करती है, जिससे सरकार, वित्त और परिवहन जैसे पुर्तगाली-भाषी क्षेत्रों को लक्षित करके एक बहु-चरणीय संक्रमण शुरू होता है।
• मैकओएस के लिए एटॉमिक स्टीलर : ईथरहाइडिंग नामक एक रणनीति के साथ जोड़ा गया, जहां बिनेंस स्मार्ट चेन (बीएससी) अनुबंध पेलोड को छिपाते हैं। 'मैं रोबोट नहीं हूं' पर क्लिक करने वाले पीड़ित अनजाने में एक बेस 64 कमांड को ट्रिगर करते हैं, जिसे तब टर्मिनल में डाउनलोड करने और एटॉमिक स्टीलर के रूप में पुष्टि की गई हस्ताक्षरित मैक-ओ बाइनरी को निष्पादित करने के लिए चलाया जाता है।

मैकरीपर: वैध वेबसाइट शोषण के साथ एक व्यापक अभियान

आगे की जांच ने एटॉमिक स्टीलर अभियान को मैकरीपर नामक बड़े पैमाने पर वाटरिंग होल हमले से जोड़ा है। लगभग 2,800 वैध वेबसाइटों को नकली CAPTCHA संकेत प्रदर्शित करने के लिए समझौता किया गया था। इन हमलों में पहचान से बचने और संक्रमण को अधिकतम करने के लिए अस्पष्ट जावास्क्रिप्ट, पूर्ण-स्क्रीन आईफ्रेम और ब्लॉकचेन-आधारित बुनियादी ढांचे का उपयोग किया गया था।