LOSTKEYS kenkėjiška programa
Su Rusija susijęs kenkėjiškų programų veikėjas, žinomas kaip COLDRIVER, išplėtė savo įrankių rinkinį, peržengdamas tradicines sukčiavimo kampanijas, susijusias su kredencialais. Neseniai buvo pastebėta, kad grupė diegia naują kenkėjiškų programų atmainą, vadinamą LOSTKEYS, vykdydama tikslinę šnipinėjimo kampaniją. Tai jau antras su COLDRIVER susijęs pritaikytas kenkėjiškų programų rinkinys po SPICA . COLDRIVER, taip pat sekamas tokiais slapyvardžiais kaip „Callisto“, „Star Blizzard“ ir „UNC4057“, yra liūdnai pagarsėjęs dėl kredencialų vagysčių, el. laiškų nutekėjimo ir kontaktų sąrašų rinkimo. Dabar jos veiksmų planas apima selektyvų kenkėjiškų programų diegimą, siekiant pasiekti sistemos failus ir duomenis.
Turinys
LOSTKEYS atskleistas: slapta ir tikslinė grėsmė
„LOSTKEYS“ sukurta slapta išgauti slaptą informaciją, įskaitant failus iš konkrečių katalogų, veikiančius procesus ir sistemos informaciją. Ji buvo dislokuota operacijose 2025 m. sausio, kovo ir balandžio mėn. Tarp taikinių – dabartiniai ir buvę Vakarų vyriausybių ir kariuomenių patarėjai, žurnalistai, analitiniai centrai, NVO ir su Ukraina susiję asmenys. Pažymėtina, kad kenkėjiška programa, regis, diegiama selektyviai, pabrėžiant jos naudojimą itin tikslinėms atakoms.
Socialinė inžinerija 2.0: „ClickFix“ ryšys
Užkrėtimo grandinė prasideda nuo netikro CAPTCHA raginimo, esančio masalų svetainėje. Aukos apgaule priverčiamos atidaryti „Windows“ vykdymo dialogo langą ir įklijuoti į iškarpinę nukopijuotą „PowerShell“ komandą – šis metodas žinomas kaip „ClickFix“. Ši komanda iš nuotolinio serverio nuskaito antrojo etapo atsisiuntimo programą, kuri tada pateikia trečiojo etapo „PowerShell“ skriptą. Šis skriptas vykdo LOSTKEYS pagrindiniame kompiuteryje, vengdamas aptikimo virtualiose aplinkose.
Pakartotinai panaudota kenkėjiška programa ar ankstyvas testavimas?
Saugumo tyrėjai aptiko „LOSTKEYS“ pavyzdžių, datuojamų 2023 m. gruodžio mėn., kurie imitavo atvirojo kodo tyrimų platformos „Maltego“ dvejetainius failus. Vis dar neaišku, ar tai buvo ankstyvosios bandomosios versijos, ar nesusiję kenkėjiškos programos naudojimo atvejai iki patvirtinto jos diegimo 2025 m.
Platesnis „ClickFix“ pritaikymas ir žalingas pasiekiamumas
„ClickFix“ metodas populiarėja tarp įvairių kenkėjiškų programų platintojų. Du pastebimi pavyzdžiai:
- „Lampion Banking“ Trojos arklys : platinamas sukčiavimo el. laiškuose su ZIP priedais. Viduje HTML failas nukreipia aukas į netikrą CAPTCHA puslapį su „ClickFix“ instrukcijomis, inicijuodamas daugiapakopę infekciją, nukreiptą į portugališkai kalbančius sektorius, tokius kaip vyriausybė, finansai ir transportas.
- „Atomic Stealer“, skirta „macOS“ : kartu su taktika, vadinama „EtherHiding“, kai „Binance Smart Chain“ (BSC) sutartis slepia naudingąją apkrovą. Aukos, spustelėjusios „Aš nesu robotas“, nesąmoningai aktyvuoja „Base64“ komandą, kuri vėliau paleidžiama terminale, kad būtų atsisiųstas ir vykdomas pasirašytas „Mach-O“ dvejetainis failas, patvirtintas kaip „Atomic Stealer“.
„MacReaper“: plačiai paplitusi kampanija, kurioje teisėtai išnaudojamos svetainės
Tolesnis tyrimas susiejo „Atomic Stealer“ kampaniją su didelio masto slapta ataka, pavadinta „MacReaper“. Beveik 2800 teisėtų svetainių buvo užkrėstos ir jose buvo rodomi netikri CAPTCHA raginimai. Šiose atakose buvo naudojamas užmaskuotas „JavaScript“, viso ekrano „iframe“ ir blokų grandinės pagrindu sukurta infrastruktūra, siekiant išvengti aptikimo ir maksimaliai padidinti užkrėtimo riziką.
