LOSTKEYS-skadevare
Den Russland-tilknyttede trusselaktøren kjent som COLDRIVER har utvidet verktøysettet sitt og går utover tradisjonelle phishing-kampanjer for legitimasjon. Nylig ble gruppen observert mens de distribuerte en ny skadevarestamme kalt LOSTKEYS i en målrettet spionasjekampanje. Dette markerer den andre tilpassede skadevaren som er knyttet til COLDRIVER, etter SPICA . COLDRIVER spores også under aliaser som Callisto, Star Blizzard og UNC4057, og er beryktet for legitimasjonstyveri, e-postutpressing og kontaktlistehøsting. Nå inkluderer strategien selektiv distribusjon av skadevaren for å få tilgang til systemfiler og data.
Innholdsfortegnelse
LOSTKEYS avduket: En snikende og målrettet trussel
LOSTKEYS er utviklet for å hemmelig eksfiltrere sensitiv informasjon, inkludert filer fra spesifikke kataloger, kjørende prosesser og systemdetaljer. Den har blitt distribuert i operasjoner i januar, mars og april 2025. Målene inkluderer nåværende og tidligere rådgivere for vestlige regjeringer og militære styrker, journalister, tenketanker, frivillige organisasjoner og enkeltpersoner tilknyttet Ukraina. Det er verdt å merke seg at skadevaren ser ut til å bli distribuert selektivt, med vekt på bruken i svært målrettede angrep.
Sosial manipulering 2.0: ClickFix-forbindelsen
Infeksjonskjeden starter med en falsk CAPTCHA-ledetekst som ligger på et lokkedyrnettsted. Ofrene blir lurt til å åpne Windows Kjør-dialogboks og lime inn en PowerShell-kommando som er kopiert til utklippstavlen – en metode kjent som ClickFix. Denne kommandoen henter en nedlaster i andre trinn fra en ekstern server, som deretter leverer et PowerShell-skript i tredje trinn. Dette skriptet kjører LOSTKEYS på verten samtidig som det unngår deteksjon i virtuelle miljøer.
Gjenbrukt skadelig programvare eller tidlig testing?
Sikkerhetsforskere oppdaget LOSTKEYS-eksempler fra desember 2023 som etterlignet binærfiler fra Maltego, en åpen kildekode-plattform for etterforskning. Det er fortsatt uklart om dette var tidlige testversjoner eller urelatert bruk av skadevaren før den bekreftede utrullingen i 2025.
ClickFix’ bredere adopsjon og skadelige rekkevidde
ClickFix-teknikken blir stadig mer populær blant ulike trusselaktører for distribusjon av skadelig programvare. To bemerkelsesverdige eksempler inkluderer:
- Lampion Banking Trojan : Leveres via phishing-e-poster med ZIP-vedlegg. Inni omdirigerer en HTML-fil ofrene til en falsk CAPTCHA-side med ClickFix-instruksjoner, noe som starter en flertrinnsinfeksjon som retter seg mot portugisisktalende sektorer som myndigheter, finans og transport.
- Atomic Stealer for macOS : Kombinert med en taktikk kalt EtherHiding, der Binance Smart Chain (BSC)-kontrakter skjuler nyttelast. Ofre som klikker på «Jeg er ikke en robot» utløser ubevisst en Base64-kommando, som deretter kjøres i Terminal for å laste ned og utføre en signert Mach-O-binærfil bekreftet som Atomic Stealer.
MacReaper: En utbredt kampanje med legitim utnyttelse av nettsteder
Videre etterforskning har knyttet Atomic Stealer-kampanjen til et storstilt «watering hole»-angrep kalt MacReaper. Nesten 2800 legitime nettsteder ble kompromittert for å vise falske CAPTCHA-ledetekster. Disse angrepene brukte obfuskert JavaScript, fullskjerms iframes og blokkjedebasert infrastruktur for å unngå deteksjon og maksimere infeksjoner.
