Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware LOSTKEYS-malware

LOSTKEYS-malware

Tegen Mezo in Malware
Vertalen naar:

De aan Rusland gelinkte dreigingsactor COLDRIVER heeft zijn toolkit uitgebreid en gaat verder dan traditionele phishingcampagnes met inloggegevens. Onlangs werd de groep gespot met de implementatie van een nieuwe malwarevariant genaamd LOSTKEYS in een gerichte spionagecampagne. Dit is de tweede malwarevariant die aan COLDRIVER is gekoppeld, na SPICA . COLDRIVER, ook gevolgd onder aliassen zoals Callisto, Star Blizzard en UNC4057, is berucht om diefstal van inloggegevens, e-mailexfiltratie en het verzamelen van contactenlijsten. Het handboek omvat nu selectieve implementatie van malware om toegang te krijgen tot systeembestanden en -gegevens.

LOSTKEYS onthuld: een sluipende en gerichte bedreiging

LOSTKEYS is ontworpen om heimelijk gevoelige informatie te exfiltreren, waaronder bestanden uit specifieke mappen, lopende processen en systeemdetails. De malware is ingezet in januari, maart en april 2025. Doelwitten zijn onder andere huidige en voormalige adviseurs van westerse regeringen en legers, journalisten, denktanks, ngo's en personen die banden hebben met Oekraïne. Opvallend is dat de malware selectief lijkt te worden ingezet, met de nadruk op zeer gerichte aanvallen.

Social Engineering 2.0: De ClickFix-verbinding

De infectieketen begint met een nep-CAPTCHA-prompt die op een nepwebsite wordt gehost. Slachtoffers worden ertoe verleid het Windows-venster Uitvoeren te openen en een gekopieerde PowerShell-opdracht naar hun klembord te kopiëren – een methode die bekendstaat als ClickFix. Deze opdracht haalt een downloader voor de tweede fase op van een externe server, die vervolgens een PowerShell-script voor de derde fase levert. Dit script voert LOSTKEYS uit op de host en ontwijkt detectie in virtuele omgevingen.

Hergebruikte malware of vroege tests?

Beveiligingsonderzoekers ontdekten LOSTKEYS-samples die teruggingen tot december 2023 en die binaire bestanden van Maltego, een open-source onderzoeksplatform, nabootsten. Het is nog onduidelijk of dit vroege testversies waren of niet-gerelateerde toepassingen van de malware vóór de bevestigde implementatie in 2025.

De bredere acceptatie en het schadelijke bereik van ClickFix

De ClickFix-techniek wint aan populariteit onder verschillende kwaadwillenden voor de verspreiding van malware. Twee opvallende voorbeelden zijn:

  • Lampion Banking Trojan : Verzonden via phishingmails met zip-bijlagen. Een HTML-bestand stuurt slachtoffers door naar een valse CAPTCHA-pagina met ClickFix-instructies, wat een meerfaseninfectie in gang zet die gericht is op Portugeestalige sectoren zoals de overheid, de financiële sector en de transportsector.
  • Atomic Stealer voor macOS : Gecombineerd met een tactiek genaamd EtherHiding, waarbij Binance Smart Chain (BSC)-contracten payloads verbergen. Slachtoffers die op 'Ik ben geen robot' klikken, activeren onbewust een Base64-commando, dat vervolgens in Terminal wordt uitgevoerd om een ondertekend Mach-O-bestand te downloaden en uit te voeren, waarvan is bevestigd dat het Atomic Stealer is.

    • MacReaper: een wijdverbreide campagne met legitieme website-exploitatie

    Nader onderzoek heeft de Atomic Stealer-campagne in verband gebracht met een grootschalige watering hole-aanval genaamd MacReaper. Bijna 2800 legitieme websites werden gehackt om valse CAPTCHA-prompts weer te geven. Deze aanvallen maakten gebruik van verhulde JavaScript, full-screen iframes en blockchain-gebaseerde infrastructuur om detectie te omzeilen en infecties te maximaliseren.

    Trending

    Meest bekeken

    Bezig met laden...