Oprogramowanie złośliwe LOSTKEYS
Powiązany z Rosją aktor zagrożeń znany jako COLDRIVER rozszerzył swój zestaw narzędzi, wykraczając poza tradycyjne kampanie phishingu poświadczeń. Niedawno grupa została zauważona podczas wdrażania nowego szczepu złośliwego oprogramowania o nazwie LOSTKEYS w ukierunkowanej kampanii szpiegowskiej. Jest to drugi niestandardowy złośliwy program powiązany z COLDRIVER, po SPICA . Śledzony również pod pseudonimami takimi jak Callisto, Star Blizzard i UNC4057, COLDRIVER jest znany z kradzieży poświadczeń, eksfiltracji poczty e-mail i zbierania list kontaktów. Teraz jego podręcznik obejmuje selektywne wdrażanie złośliwego oprogramowania w celu uzyskania dostępu do plików systemowych i danych.
Spis treści
Odkryto LOSTKEYS: ukryte i ukierunkowane zagrożenie
LOSTKEYS został zaprojektowany do ukrytego eksfiltrowania poufnych informacji, w tym plików z określonych katalogów, uruchomionych procesów i szczegółów systemowych. Został wdrożony w operacjach w styczniu, marcu i kwietniu 2025 r. Wśród celów znajdują się obecni i byli doradcy zachodnich rządów i armii, dziennikarze, ośrodki analityczne, organizacje pozarządowe i osoby związane z Ukrainą. Co ciekawe, złośliwe oprogramowanie wydaje się być wdrażane selektywnie, co podkreśla jego wykorzystanie w wysoce ukierunkowanych atakach.
Inżynieria społeczna 2.0: połączenie ClickFix
Łańcuch infekcji zaczyna się od fałszywego monitu CAPTCHA umieszczonego na stronie-przynęcie. Ofiary są oszukiwane, aby otworzyć okno dialogowe Uruchom systemu Windows i wkleić polecenie programu PowerShell skopiowane do schowka — metoda znana jako ClickFix. To polecenie pobiera program do pobierania drugiego etapu ze zdalnego serwera, który następnie dostarcza skrypt programu PowerShell trzeciego etapu. Ten skrypt wykonuje LOSTKEYS na hoście, jednocześnie unikając wykrycia w środowiskach wirtualnych.
Złośliwe oprogramowanie do ponownego wykorzystania czy wczesne testy?
Badacze bezpieczeństwa odkryli próbki LOSTKEYS pochodzące z grudnia 2023 r., które naśladowały pliki binarne z Maltego, platformy śledczej typu open source. Nadal nie jest jasne, czy były to wczesne wersje testowe, czy niezwiązane z tym zastosowania złośliwego oprogramowania przed jego potwierdzonym wdrożeniem w 2025 r.
Szersze przyjęcie ClickFix i szkodliwy zasięg
Technika ClickFix zyskuje popularność wśród różnych aktorów zagrożeń do dystrybucji złośliwego oprogramowania. Dwa godne uwagi przykłady to:
- Trojan bankowy Lampion : Dostarczany za pośrednictwem wiadomości e-mail phishing z załącznikami ZIP. Wewnątrz plik HTML przekierowuje ofiary na fałszywą stronę CAPTCHA z instrukcjami ClickFix, inicjując wieloetapową infekcję ukierunkowaną na sektory portugalskojęzyczne, takie jak rząd, finanse i transport.
- Atomic Stealer dla systemu macOS : W połączeniu z taktyką o nazwie EtherHiding, w której kontrakty Binance Smart Chain (BSC) ukrywają ładunki. Ofiary, które klikają „Nie jestem robotem”, nieświadomie uruchamiają polecenie Base64, które jest następnie uruchamiane w terminalu w celu pobrania i wykonania podpisanego pliku binarnego Mach-O potwierdzonego jako Atomic Stealer.
MacReaper: szeroko zakrojona kampania z legalnym wykorzystaniem witryn internetowych
Dalsze dochodzenie powiązało kampanię Atomic Stealer z atakiem na dużą skalę w wodopoju zwanym MacReaper. Prawie 2800 legalnych stron internetowych zostało naruszonych, aby wyświetlać fałszywe monity CAPTCHA. Ataki te wykorzystywały zaciemniony JavaScript, pełnoekranowe ramki iframe i infrastrukturę opartą na blockchain, aby uniknąć wykrycia i zmaksymalizować liczbę infekcji.
