Malware LOSTKEYS
L'autore di minacce legate alla Russia, noto come COLDRIVER, ha ampliato il suo kit di strumenti, andando oltre le tradizionali campagne di phishing delle credenziali. Di recente, il gruppo è stato individuato mentre distribuiva un nuovo ceppo di malware chiamato LOSTKEYS in una campagna di spionaggio mirata. Si tratta del secondo malware personalizzato collegato a COLDRIVER, dopo SPICA . Tracciato anche con alias come Callisto, Star Blizzard e UNC4057, COLDRIVER è noto per il furto di credenziali, l'esfiltrazione di e-mail e la raccolta di elenchi di contatti. Ora, il suo piano d'azione include l'implementazione selettiva di malware per accedere a file e dati di sistema.
Sommario
LOSTKEYS svelato: una minaccia furtiva e mirata
LOSTKEYS è progettato per esfiltrare furtivamente informazioni sensibili, inclusi file da directory specifiche, processi in esecuzione e dettagli di sistema. È stato implementato in operazioni durante gennaio, marzo e aprile 2025. Tra i bersagli figurano attuali ed ex consiglieri di governi e forze armate occidentali, giornalisti, think tank, ONG e individui associati all'Ucraina. In particolare, il malware sembra essere implementato in modo selettivo, il che ne sottolinea l'utilizzo in attacchi altamente mirati.
Ingegneria sociale 2.0: la connessione ClickFix
La catena di infezione inizia con un falso prompt CAPTCHA ospitato su un sito web fittizio. Le vittime vengono indotte ad aprire la finestra di dialogo Esegui di Windows e a incollare un comando PowerShell copiato negli appunti, un metodo noto come ClickFix. Questo comando recupera un downloader di seconda fase da un server remoto, che a sua volta invia uno script PowerShell di terza fase. Questo script esegue LOSTKEYS sull'host, eludendo il rilevamento negli ambienti virtuali.
Malware riadattato o test preliminari?
I ricercatori di sicurezza hanno scoperto campioni di LOSTKEYS risalenti a dicembre 2023 che imitavano i file binari di Maltego, una piattaforma di analisi open source. Non è ancora chiaro se si trattasse di versioni di test preliminari o di utilizzi non correlati del malware prima della sua conferma di diffusione nel 2025.
L’adozione più ampia di ClickFix e la sua portata dannosa
La tecnica ClickFix sta guadagnando popolarità tra diversi autori di minacce per la distribuzione di malware. Due esempi degni di nota includono:
- Trojan bancario Lampion : diffuso tramite e-mail di phishing con allegati ZIP. Al suo interno, un file HTML reindirizza le vittime a una falsa pagina CAPTCHA con istruzioni ClickFix, avviando un'infezione in più fasi rivolta a settori di lingua portoghese come governo, finanza e trasporti.
- Atomic Stealer per macOS : abbinato a una tattica chiamata EtherHiding, in cui i contratti Binance Smart Chain (BSC) nascondono i payload. Le vittime che cliccano su "Non sono un robot" attivano inconsapevolmente un comando Base64, che viene poi eseguito nel Terminale per scaricare ed eseguire un binario Mach-O firmato e confermato come Atomic Stealer.
MacReaper: una campagna diffusa con sfruttamento legittimo di siti web
Ulteriori indagini hanno collegato la campagna Atomic Stealer a un attacco watering hole su larga scala denominato MacReaper. Quasi 2.800 siti web legittimi sono stati compromessi e hanno visualizzato falsi CAPTCHA. Questi attacchi hanno utilizzato JavaScript offuscato, iframe a schermo intero e infrastrutture basate su blockchain per eludere il rilevamento e massimizzare le infezioni.
