LOSTKEYS ļaunprogrammatūra
Ar Krieviju saistītais draudu izpildītājs, kas pazīstams kā COLDRIVER, ir paplašinājis savu rīku komplektu, pārsniedzot tradicionālās akreditācijas datu pikšķerēšanas kampaņas. Nesen grupa tika pamanīta, mērķtiecīgā spiegošanas kampaņā ieviešot jaunu ļaunprogrammatūras paveidu ar nosaukumu LOSTKEYS. Šī ir otrā pielāgotā ļaunprogrammatūra, kas saistīta ar COLDRIVER, pēc SPICA . COLDRIVER, kas tiek izsekota arī ar tādiem pseidonīmiem kā Callisto, Star Blizzard un UNC4057, ir bēdīgi slavena ar akreditācijas datu zādzībām, e-pasta eksfiltrāciju un kontaktu sarakstu ievākšanu. Tagad tās rīcības plāns ietver selektīvu ļaunprogrammatūras izvietošanu, lai piekļūtu sistēmas failiem un datiem.
Satura rādītājs
Atklāts LOSTKEYS: slepens un mērķtiecīgs drauds
LOSTKEYS ir izstrādāts, lai nemanāmi izgūtu sensitīvu informāciju, tostarp failus no konkrētiem direktorijiem, darbojošos procesus un sistēmas informāciju. Tas tika ieviests operācijās 2025. gada janvārī, martā un aprīlī. Mērķu vidū ir pašreizējie un bijušie Rietumu valdību un militārpersonu padomnieki, žurnālisti, domnīcas, NVO un ar Ukrainu saistītas personas. Jāatzīmē, ka ļaunprogrammatūra, šķiet, tiek izvietota selektīvi, uzsverot tās izmantošanu ļoti mērķtiecīgos uzbrukumos.
Sociālā inženierija 2.0: ClickFix savienojums
Infekcijas ķēde sākas ar viltotu CAPTCHA uzvedni, kas tiek mitināta mānekļa vietnē. Upuri tiek apmānīti, lai atvērtu Windows palaišanas dialoglodziņu un ielīmētu savā starpliktuvē kopētu PowerShell komandu — metodi, kas pazīstama kā ClickFix. Šī komanda no attālā servera ielādē otrās pakāpes lejupielādētāju, kas pēc tam piegādā trešās pakāpes PowerShell skriptu. Šis skripts resursdatorā izpilda LOSTKEYS, vienlaikus izvairoties no atklāšanas virtuālajās vidēs.
Atkārtoti izmantota ļaunprogrammatūra vai agrīna testēšana?
Drošības pētnieki atklāja LOSTKEYS paraugus, kas datēti ar 2023. gada decembri un atdarināja bināros failus no atvērtā pirmkoda izmeklēšanas platformas Maltego. Joprojām nav skaidrs, vai tās bija agrīnas testa versijas vai nesaistīti ļaunprogrammatūras lietojumi pirms tās apstiprinātās ieviešanas 2025. gadā.
ClickFix plašāka ieviešana un kaitīga ietekme
ClickFix metode kļūst arvien populārāka dažādu ļaunprogrammatūras izplatīšanas apdraudējumu dalībnieku vidū. Divi ievērojami piemēri ir šādi:
- Lampion Banking Trojan : tiek piegādāts ar pikšķerēšanas e-pastiem ar ZIP pielikumiem. HTML fails novirza upurus uz viltotu CAPTCHA lapu ar ClickFix instrukcijām, uzsākot daudzpakāpju infekciju, kas vērsta uz portugāļu valodā runājošām nozarēm, piemēram, valdību, finanšu un transporta nozari.
- Atomic Stealer macOS operētājsistēmai : apvienojumā ar taktiku, ko sauc par EtherHiding, kur Binance Smart Chain (BSC) slēdz līgumus, lai paslēptu vērtslodzes. Upuri, kas noklikšķina uz “Es neesmu robots”, neapzināti aktivizē Base64 komandu, kas pēc tam tiek palaista terminālī, lai lejupielādētu un izpildītu parakstītu Mach-O bināro failu, kas apstiprināts kā Atomic Stealer.
MacReaper: plaši izplatīta kampaņa ar likumīgu tīmekļa vietņu izmantošanu
Turpmākā izmeklēšana ir saistījusi Atomic Stealer kampaņu ar liela mēroga uzbrukumu ar nosaukumu MacReaper. Gandrīz 2800 likumīgas tīmekļa vietnes tika apdraudētas, lai parādītu viltotus CAPTCHA uzvednes. Šajos uzbrukumos tika izmantots apmulsināts JavaScript, pilnekrāna iframe un blokķēdes infrastruktūra, lai izvairītos no atklāšanas un maksimāli palielinātu infekcijas.
