LOSTKEYS मालवेयर

COLDRIVER को रूपमा चिनिने रूससँग सम्बन्धित खतरा अभिनेताले परम्परागत क्रेडेन्सियल फिशिङ अभियानहरूभन्दा बाहिर गएर आफ्नो टुलकिट विस्तार गरेको छ। हालै, समूहलाई लक्षित जासूसी अभियानमा LOSTKEYS भनिने नयाँ मालवेयर स्ट्रेन तैनाथ गरेको देखियो। यो SPICA पछि COLDRIVER सँग जोडिएको दोस्रो कस्टम मालवेयर हो। Callisto, Star Blizzard , र UNC4057 जस्ता उपनामहरू अन्तर्गत पनि ट्र्याक गरिएको, COLDRIVER क्रेडेन्सियल चोरी, इमेल एक्सफिल्टरेशन, र सम्पर्क सूची कटाईको लागि कुख्यात छ। अब, यसको प्लेबुकमा प्रणाली फाइलहरू र डेटा पहुँच गर्न चयनात्मक मालवेयर तैनाती समावेश छ।

लस्टकीजको अनावरण: एक गोप्य र लक्षित खतरा

LOSTKEYS विशिष्ट निर्देशिकाहरू, चलिरहेका प्रक्रियाहरू र प्रणाली विवरणहरूबाट फाइलहरू सहित संवेदनशील जानकारीहरू गोप्य रूपमा बाहिर निकाल्न डिजाइन गरिएको हो। यो जनवरी, मार्च र अप्रिल २०२५ को अवधिमा सञ्चालनमा तैनाथ गरिएको छ। लक्ष्यहरूमा पश्चिमी सरकारहरू र सेनाका वर्तमान र पूर्व सल्लाहकारहरू, पत्रकारहरू, थिंक ट्याङ्कहरू, गैरसरकारी संस्थाहरू र युक्रेनसँग सम्बन्धित व्यक्तिहरू समावेश छन्। उल्लेखनीय रूपमा, मालवेयर छनौट रूपमा तैनाथ गरिएको देखिन्छ, अत्यधिक लक्षित आक्रमणहरूमा यसको प्रयोगलाई जोड दिँदै।

सामाजिक इन्जिनियरिङ २.०: क्लिकफिक्स जडान

संक्रमण शृङ्खला एक डिकॉय वेबसाइटमा होस्ट गरिएको नक्कली CAPTCHA प्रम्प्टबाट सुरु हुन्छ। पीडितहरूलाई Windows Run संवाद खोल्न र तिनीहरूको क्लिपबोर्डमा प्रतिलिपि गरिएको PowerShell आदेश टाँस्न ठगिन्छ—क्लिकफिक्स भनेर चिनिने विधि। यो आदेशले रिमोट सर्भरबाट दोस्रो-चरणको डाउनलोडर ल्याउँछ, जसले त्यसपछि तेस्रो-चरणको PowerShell स्क्रिप्ट डेलिभर गर्छ। यो स्क्रिप्टले भर्चुअल वातावरणमा पत्ता लगाउनबाट बच्दा होस्टमा LOSTKEYS कार्यान्वयन गर्छ।

पुन: प्रयोग गरिएको मालवेयर वा प्रारम्भिक परीक्षण?

सुरक्षा अनुसन्धानकर्ताहरूले डिसेम्बर २०२३ मा LOSTKEYS नमूनाहरू पत्ता लगाए जसले खुला स्रोत अनुसन्धान प्लेटफर्म, माल्टेगोबाट बाइनरीहरूको नक्कल गर्थे। यो अझै स्पष्ट छैन कि यी प्रारम्भिक परीक्षण संस्करणहरू थिए वा २०२५ मा यसको पुष्टि गरिएको तैनाती अघि मालवेयरको असंबद्ध प्रयोगहरू थिए।

क्लिकफिक्सको फराकिलो अपनन र हानिकारक पहुँच

मालवेयर वितरणका लागि विभिन्न खतरा कारकहरू बीच क्लिकफिक्स प्रविधि लोकप्रिय हुँदै गइरहेको छ। दुई उल्लेखनीय उदाहरणहरू समावेश छन्:

• ल्याम्पियन बैंकिङ ट्रोजन : जिप एट्याचमेन्टहरू सहितको फिसिङ इमेलहरू मार्फत डेलिभर गरिन्छ। भित्र, एउटा HTML फाइलले पीडितहरूलाई क्लिकफिक्स निर्देशनहरू सहितको नक्कली क्याप्चा पृष्ठमा रिडिरेक्ट गर्छ, जसले सरकार, वित्त र यातायात जस्ता पोर्चुगिज भाषी क्षेत्रहरूलाई लक्षित गर्दै बहु-चरणीय संक्रमण सुरु गर्छ।

म्याकरिपर: वैध वेबसाइट शोषणको साथ एक व्यापक अभियान

थप अनुसन्धानले एटोमिक स्टीलर अभियानलाई म्याकरिपर भनिने ठूलो मात्रामा भएको पानी आक्रमणसँग जोडेको छ। लगभग २,८०० वैध वेबसाइटहरूलाई नक्कली क्याप्चा प्रम्प्टहरू प्रदर्शन गर्न सम्झौता गरिएको थियो। यी आक्रमणहरूले पत्ता लगाउनबाट बच्न र संक्रमणलाई अधिकतम बनाउन अस्पष्ट जाभास्क्रिप्ट, पूर्ण-स्क्रिन आइफ्रेमहरू र ब्लकचेन-आधारित पूर्वाधार प्रयोग गर्थे।