LOSTKEYS kártevő

Az Oroszországhoz köthető COLDRIVER nevű fenyegetés kibővítette eszköztárát, túllépve a hagyományos hitelesítő adatokkal való adathalász kampányokon. Nemrégiben a csoportot egy új, LOSTKEYS nevű rosszindulatú programtörzs bevetésén észlelték egy célzott kémkedési kampány során. Ez a második egyedi rosszindulatú program, amely a SPICA után a COLDRIVER-hez köthető. A Callisto, Star Blizzard és UNC4057 álneveken is nyomon követett COLDRIVER hírhedt a hitelesítő adatok ellopásáról, az e-mailek elszivárgásáról és a névjegyzékek gyűjtögetéséről. Most a forgatókönyvük magában foglalja a szelektív rosszindulatú programok telepítését a rendszerfájlok és adatok elérésére.

LOSTKEYS leleplezése: Egy alattomos és célzott fenyegetés

A LOSTKEYS programot arra tervezték, hogy titkosan szivárogtassa ki érzékeny információkat, beleértve bizonyos könyvtárakból származó fájlokat, futó folyamatokat és rendszeradatokat. 2025 januárjában, márciusában és áprilisában vetették be működés közben. A célpontok között nyugati kormányok és katonaságok jelenlegi és korábbi tanácsadói, újságírók, agytrösztök, nem kormányzati szervezetek és Ukrajnához köthető magánszemélyek szerepelnek. Figyelemre méltó, hogy a rosszindulatú programot szelektíven telepítik, hangsúlyozva a célzott támadásokban való alkalmazását.

Szociális manipuláció 2.0: A ClickFix kapcsolat

A fertőzési lánc egy hamis CAPTCHA parancssorral kezdődik, amelyet egy csali weboldalon tárolnak. Az áldozatokat becsapják, hogy megnyissák a Windows Futtatás párbeszédpanelt, és beillesszék a vágólapra a ClickFix néven ismert PowerShell parancsot. Ez a parancs egy második szintű letöltőt hív le egy távoli szerverről, amely ezután egy harmadik szintű PowerShell szkriptet kézbesít. Ez a szkript a LOSTKEYS parancsot futtatja a gazdagépen, miközben elkerüli az észlelést a virtuális környezetekben.

Újrahasznosított kártevő vagy korai tesztelés?

Biztonsági kutatók 2023 decemberéből származó LOSTKEYS mintákat fedeztek fel, amelyek a Maltego, egy nyílt forráskódú nyomozóplatform binárisait utánozták. Még mindig nem világos, hogy ezek a rosszindulatú program korai tesztverziói voltak-e, vagy a 2025-ös megerősített telepítés előtti, a kártevőhöz nem kapcsolódó felhasználási módok.

A ClickFix szélesebb körű alkalmazása és káros hatása

A ClickFix technika egyre népszerűbb a különféle fenyegetésekben részt vevő szereplők körében a rosszindulatú programok terjesztésére. Két figyelemre méltó példa:

• Lampion Banking trójai : ZIP melléklettel ellátott adathalász e-mailekben terjed. Belül egy HTML fájl egy hamis CAPTCHA oldalra irányítja át az áldozatokat ClickFix utasításokkal, többlépcsős fertőzést indítva el, amely a portugálul beszélő szektorokat, például a kormányzatot, a pénzügyet és a közlekedést célozza meg.
• Atomic Stealer macOS-re : Az EtherHiding nevű taktikával párosítva, ahol a Binance Smart Chain (BSC) szerződések útján elrejti a hasznos adatokat. Az áldozatok, akik az „I’m not a robot” gombra kattintanak, tudtukon kívül egy Base64 parancsot indítanak el, amelyet aztán a Terminálban futtatnak le egy aláírt , Atomic Stealerként megerősített Mach-O bináris fájl letöltéséhez és végrehajtásához.

MacReaper: Széles körben elterjedt kampány legitim weboldal-kizsákmányolással

További vizsgálatok az Atomic Stealer kampányt egy nagyszabású, MacReapernek elnevezett támadáshoz kötötték. Közel 2800 legitim weboldalt támadtak meg hamis CAPTCHA-kérdések megjelenítésével. Ezek a támadások obfuszkált JavaScriptet, teljes képernyős iframe-eket és blokklánc-alapú infrastruktúrát használtak az észlelés elkerülése és a fertőzések maximalizálása érdekében.