LOSTKEYS Zlonamjerni softver
Prijetnja povezana s Rusijom, poznata kao COLDRIVER, proširila je svoj skup alata, nadilazeći tradicionalne kampanje krađe podataka o vjerodajnicama. Nedavno je grupa uočena kako u ciljanoj špijunskoj kampanji primjenjuje novi soj zlonamjernog softvera pod nazivom LOSTKEYS. Ovo je drugi prilagođeni zlonamjerni softver povezan s COLDRIVER-om, nakon SPICA-e . Također praćen pod pseudonimima poput Callisto, Star Blizzard i UNC4057, COLDRIVER je poznat po krađi podataka o vjerodajnicama, eksfiltraciji e-pošte i prikupljanju podataka s popisa kontakata. Sada njegov priručnik uključuje selektivno postavljanje zlonamjernog softvera za pristup sistemskim datotekama i podacima.
Sadržaj
Otkriven LOSTKEYS: Prikrivena i ciljana prijetnja
LOSTKEYS je dizajniran za prikriveno krađu osjetljivih informacija, uključujući datoteke iz određenih direktorija, pokrenute procese i detalje sustava. Korišten je u operacijama tijekom siječnja, ožujka i travnja 2025. Mete uključuju sadašnje i bivše savjetnike zapadnih vlada i vojski, novinare, think tankove, nevladine organizacije i pojedince povezane s Ukrajinom. Čini se da se zlonamjerni softver, čini se, koristi selektivno, s naglaskom na njegovu upotrebu u visoko ciljanim napadima.
Socijalni inženjering 2.0: ClickFix veza
Lanac zaraze započinje lažnim CAPTCHA upitom smještenim na lažnoj web stranici. Žrtve se prevarom navode da otvore dijalog Pokreni u sustavu Windows i zalijepe PowerShell naredbu kopiranu u međuspremnik - metoda poznata kao ClickFix. Ova naredba dohvaća program za preuzimanje druge faze s udaljenog poslužitelja, koji zatim isporučuje PowerShell skriptu treće faze. Ova skripta izvršava LOSTKEYS na hostu izbjegavajući otkrivanje u virtualnim okruženjima.
Prenamijenjeni zlonamjerni softver ili rano testiranje?
Sigurnosni istraživači otkrili su uzorke LOSTKEYS-a iz prosinca 2023. koji su oponašali binarne datoteke s Maltegoa, istraživačke platforme otvorenog koda. Još uvijek nije jasno jesu li to bile rane testne verzije ili nepovezane upotrebe zlonamjernog softvera prije njegovog potvrđenog postavljanja 2025. godine.
Šire prihvaćanje i štetan doseg ClickFixa
Tehnika ClickFix dobiva na popularnosti među raznim prijetnjama za distribuciju zlonamjernog softvera. Dva značajna primjera uključuju:
- Lampion Banking Trojan : Dostavlja se putem phishing e-poruka s ZIP prilozima. Unutra HTML datoteka preusmjerava žrtve na lažnu CAPTCHA stranicu s ClickFix uputama, pokrećući višefaznu infekciju usmjerenu na sektore portugalskog govornog područja poput vlade, financija i prometa.
- Atomic Stealer za macOS : Uparen s taktikom pod nazivom EtherHiding, gdje Binance Smart Chain (BSC) ugovori skrivaju korisne terete. Žrtve koje kliknu 'Nisam robot' nesvjesno pokreću Base64 naredbu, koja se zatim pokreće u Terminalu za preuzimanje i izvršavanje potpisane Mach-O binarne datoteke potvrđene kao Atomic Stealer.
MacReaper: Raširena kampanja s legitimnim iskorištavanjem web stranica
Daljnja istraga povezala je kampanju Atomic Stealer s velikim napadom nazvanim MacReaper. Gotovo 2800 legitimnih web stranica kompromitirano je kako bi prikazivale lažne CAPTCHA upite. U tim su napadima korišteni obfusirani JavaScript, iframeovi preko cijelog zaslona i blockchain infrastruktura kako bi izbjegli otkrivanje i maksimizirali zaraze.
